登場したばかりの『IE 7』に、またも脆弱性見つかる

先ごろ Microsoft (NASDAQ:MSFT) が正式版をリリースしたばかりの Web ブラウザ『Internet Explorer 7』(IE 7) に、また新たな脆弱性が見つかった。セキュリティの専門家は、このバグを利用して「なりすまし」攻撃が可能だと警告しているが、Microsoft は大きな問題と見なしていない。

セキュリティ対策会社 Secunia が25日に公開した情報によると、このバグを悪用することで IE 7 のユーザーを騙し、合法的なサイトに見せかけた Web サイトに誘導できるという。具体的には、攻撃者のサイトの URL に特殊文字と正規のアドレスを付け足し、実際には攻撃者のサイトにアクセスしているにもかかわらず、アドレスバーの見た目上は正規サイトにアクセスしているかのようなポップアップを表示できる。これは「なりすまし」と呼ばれる手口だ。アドレスバーを一瞥しただけで納得してしまうと、フィッシング詐欺の犠牲者になりかねない。

Microsoft は、Secunia が情報を開示した翌日に、セキュリティ対策組織 Microsoft Security Response Center (MSRC) の公式 Blog でこの問題に触れた。同社は問題を調査すると述べたが、それほど深刻には捉えていない。同 Blog において、MSRC のセキュリティ プログラム マネージャ Christopher Budd 氏は、次のように書いている。「この問題を利用した攻撃の発生については、聞き及んでいない。しかし通常通り、われわれは調査を通じて、状況観測を続ける」

同 Blog によると、IE 7 のアドレスバーに現われる正規サイトになりすました URL は、実際にアクセスしているサイトを示す URL の先頭部分が見えず、攻撃者が意図的に付加した正規サイトの URL が見えるという。しかし URL をスクロールすれば、アドレス全体を確認できる。Budd 氏はユーザーに対し、IE 7 のフィッシングフィルタ機能を有効にするよう勧め、次のように述べた。「この問題の悪用を企てるフィッシングサイトがあっても、『Microsoft Phishing Filter』が防御の役に立つ」

なお IE 7 の脆弱性といえば、正式版リリース直後の19日にも1件明らかになっていた。こちらの脆弱性について Microsoft は、IE 7 の問題ではなく、『Outlook Express』の問題としている。