現在地 HOME > 掲示板 > IT4 > 652.html ★阿修羅♪ |
|
Tweet |
(回答先: ◎12月中旬にもご照会しましたが、再度注意喚起。「IEにURLを偽装できるパッチ未公開の脆弱性が発見される」 投稿者 クエスチョン 日時 2004 年 1 月 06 日 00:36:27)
2003/12/24 22:57:00 更新
IEのサイト偽装問題で被害をこうむらないために【ZD_Net記事】
http://www.zdnet.co.jp/enterprise/0312/24/epn14.html
Windows版のInternet Explorerで、実際にアクセスしているものとは異なるURLが表示されるURL詐称の問題。パッチがまだ存在しない今、この問題に対処するにはどんな方法が必要だろうか。
Windows版のInternet Explorer(IE)で、実際にアクセスしているURLとは異なるURLがブラウザ上部のアドレスバーや下部のステータスバーに表示される、というURL詐称の問題が指摘されてから約2週間が経つ(12月11日の記事参照)。
この問題は、単純といえば単純だ。リンク先のURLの中に特殊な制御用の文字を埋め込むことで、ユーザー本人の意図とは異なるサイトにアクセスしてしまう。具体的に言えば、攻撃者がHTML中のリンクに細工を施し、「ユーザーへの見せ掛けのURL」と「実際にアクセスするURL」との間に制御コードを置くことによって、IEのアドレスバーに見せ掛けのURLを表示させ、ユーザーにはそのサイトにアクセスしているように思わせながら、別のサイトに誘導することができる。
今のところこの問題が悪用されたという報告はないが、だからといって油断は禁物だ。クリスマス、そして新年を迎えるこの時期、オンラインショッピングやグリーティングカードなどのサービスを利用するユーザーも多いだろう。このときにURL詐称を悪用されると、知らず知らずのうちに偽装ページに誘導され、ユーザーアカウントやメールアドレス、さらにはクレジットカード番号といった重要な情報を自ら送り出してしまいかねない。つまり、自分ではれっきとした商用サイトを利用しているつもりが、実は攻撃者が作ったニセのサイトに誘導されていた、ということが起こる可能性がある。
根本的な対策となると、やはり修正パッチが待たれるところだ。マイクロソフトでは鋭意パッチの開発を進めているというが、残念ながらまだ成果は出ていない。
そのうえ「この問題の厄介さは、サーバ側での対応ができない(難しい)点にあり、クライアント側でしか対応できない点にある」(インターネットセキュリティシステムズの高橋正和氏)。
Webフォームの入力には細心の注意を
ただ、パッチが登場するまでまったく手の打ちようがないというわけではない。以下のような代替策もある。
1)制御コードを組み込んだURLに対する対策ツールを利用する
これまでに2種類のツールが公開されている。1つは、オープンソースのソフトウェアで、米Openwares.orgで公開されている。このツールでは、制御コードを含んだURLにアクセスしようとするとそれをブロックする仕組みだ。ただ、その際、開発元のWebサイトにリダイレクトされることが難点だとする意見もある。
もう1つは米Internet Security Systemsのセキュリティチーム、X-Forceが公開した「Microsoft Internet Explorer domain URL spoofing filter」だ。制御コードの含まれたURLをフィルタリングし、以降のURLを廃棄する機能を備えたプラグインである。これにより、ニセのサイトに誘導されることなく、本来アクセスしようと試みたURLにアクセスできるようになる。同社によると、日本語環境での動作も確認済みということだ。
2)目視での確認を徹底する
根本的な対策が取れない以上、オーソドックスではあるが「不審なサイト、不審なURLにはアクセスしない」という基本的なアプローチを取るしかない。マイクロソフトでも、「成りすましたWebサイトか見分ける手順について」というサポート技術情報を公開し、SSL使用時の目視確認を行うよう呼びかけている。
ここで紹介されているのは、リンク先を右クリックしたり、JScriptコマンドを実行して表示させたURLをチェックするというものだ。具体的にはアドレスバーの中に
javascript:alert("実際のURLアドレス: " + location.protocol + "//" + location.hostname + "/");
と入力することにより、別ウィンドウで「現在アクセスしているURL」が表示されるようになる。またマイクロソフトの情報によると、IEの「履歴」バーを利用しても、アクセスしたWebページのURLを特定できるという。
なお同社は合わせて、IEの設定を変更し、インターネット ゾーンのセキュリティレベルを「高」に設定する方法も紹介している。ただしこれは、URL詐称を見抜くものではなく、あくまで二次的な被害を防ぐための設定だ。
さらに、SSL(HTTPS)通信のとき以外は決して個人情報を入力しないのは当然のことながら、SSL利用時にも確認しておきたいポイントがある。ブラウザウィンドウの右下に「鍵」のアイコンが表示されていることを確認するだけでなく、それをクリックして、表示される証明書の発行先を確認することだ。当該サイトがホスティングサービスなどを利用している場合は一概には言えないが、証明書の発行先と現在アクセスしているURLとかけ離れたものではないかを確認すべきだ。
ただ上記はいずれも、この問題に対するパッチが公開されるまでの二次的な対処策だ。どうしても被害に遭いたくないならば、Webフォーム経由で重要な情報は送らないよう細心の注意を払うか、IE以外のWebブラウザを利用するしかないだろう。
関連記事
IEにサイトの偽装許すバグ? MSが調査中
関連リンク
マイクロソフト サポート技術情報 - 833786
米Internet Security Systems
[高橋睦美,ZDNet/JAPAN