先ごろ Microsoft (NASDAQ:MSFT) が正式版をリリースしたばかりの Web ブラウザ『Internet Explorer 7』(IE 7) に、また新たな脆弱性が見つかった。セキュリティの専門家は、このバグを利用して「なりすまし」攻撃が可能だと警告しているが、Microsoft は大きな問題と見なしていない。
セキュリティ対策会社 Secunia が25日に公開した情報によると、このバグを悪用することで IE 7 のユーザーを騙し、合法的なサイトに見せかけた Web サイトに誘導できるという。具体的には、攻撃者のサイトの URL に特殊文字と正規のアドレスを付け足し、実際には攻撃者のサイトにアクセスしているにもかかわらず、アドレスバーの見た目上は正規サイトにアクセスしているかのようなポップアップを表示できる。これは「なりすまし」と呼ばれる手口だ。アドレスバーを一瞥しただけで納得してしまうと、フィッシング詐欺の犠牲者になりかねない。
Microsoft は、Secunia が情報を開示した翌日に、セキュリティ対策組織 Microsoft Security Response Center (MSRC) の公式 Blog でこの問題に触れた。同社は問題を調査すると述べたが、それほど深刻には捉えていない。同 Blog において、MSRC のセキュリティ プログラム マネージャ Christopher Budd 氏は、次のように書いている。「この問題を利用した攻撃の発生については、聞き及んでいない。しかし通常通り、われわれは調査を通じて、状況観測を続ける」
(携帯・ワイヤレス 7月26日 13:00)
EPM Summit 8月27日開催 at 東京
