現在地 HOME > 掲示板 > IT5 > 363.html ★阿修羅♪ |
|
Tweet |
スクリプトでなく、フォームタグを使ってステータスバーを偽装できると言う事は、デフォルト状態の「インターネット」ゾーン設定を、厳しく設定し直してもやられてしまうと言うことだ。同じく、デフォルトで「制限付きサイト」レベルセキュリティ設定のOEでも前々安心できずHTMLメールで偽装されてしまう。いやはや。(^^;
[2004/04/05]
リンク先のURLを偽装できるセキュリティ・ホールがIEに,OEユーザーは特に注意【IT_Pro記事】
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040405/142470/
セキュリティ・ベンダーであるデンマークSecuniaなどは現地時間4月1日,Internet Explorer(IE)にステータス・バーを偽装できるセキュリティ・ホールがあることを公表した。HTMLメールのレンダリングにIEを使うOutlook Express(OE)も影響を受ける。パッチは未公開。対策は「怪しいリンクはクリックしないこと」や「HTMLメールをテキストで表示させる設定にすること」など。
今回公表されたセキュリティ・ホールの“ポイント”は,スクリプトなどを使わずに偽装できること。IE(およびIEを使うOEなど)では,リンクにマウス・ポインタを当てると,左下にリンク先のURLが表示される。URLが表示されるこの部分がステータス・バーである。
ステータス・バーの表示は,スクリプトなどを使えば偽装できる。このため,IEのセキュリティ設定が,スクリプトを解釈するような設定(例えば,デフォルト状態の「インターネット」ゾーン)である場合には,容易に偽装されてしまう。セキュリティ設定を厳しくしていない場合には,ステータス・バーの表示を過信してはいけない。
逆に,セキュリティ設定が厳しい場合(例えば,デフォルト状態の「制限付きサイト」)には,スクリプトなどは解釈されないので,ステータス・バーの表示はある程度信頼できる。OEではデフォルトで「制限付きサイト」に設定されているので,以前見つかったセキュリティ・ホールがふさがれていれば,ステータス・バーの表示をある程度信頼できた(関連記事)。
しかしながら,今回公表されたセキュリティ・ホールを使えば,スクリプトを使うことなくステータス・バーの表示を偽装できる。具体的には,フォーム・タグを使って偽装できる。このため,HTMLメールを制限付きサイトで表示するOEでも,ステータス・バーを偽装されてしまう恐れがある。
今回のセキュリティ・ホールは,phishing(フィッシング)などに悪用される可能性が高い(関連記事)。OEユーザーは特に注意する必要がある。米Microsoftからは,セキュリティ情報やパッチは公開されていない。現在考えられる対策は,怪しいリンクはクリックしないこと。すべてのメールをテキスト形式で表示されることも有効な対策だ。HTMLメールは表現力が高い半面,ユーザーに見えない形で悪意がある細工を施せてしまう。
セキュリティの観点からは,「いつもはテキスト形式で表示させて,問題がないHTMLメールを読む場合だけ,HTML形式で表示させる」といった使い方が望ましい。OEでは,「ツール」の「オプション」メニューで表示される「読み取り」タブの「メッセージはすべてテキスト形式で読み取る」で容易に切り替えられる。
◆Internet Explorer/Outlook Express Restricted Zone Status Bar Spoofing(デンマークSecunia)
(勝村 幸博=IT Pro)
<“偽装”関連>
“phishing”の新たな手口が出現,「今まで見たことがない」――業界団体 (2004/04/02)
「アドレス詐称を防ぐ技術は詐欺メール対策にも有効」――センドメール小島社長 (2004/03/25)
米Network Associates,企業および個人にフィッシング対策を指南 (2004/03/17)
phishing――だましのメールに釣られるな (2004/03/15)
リンク先のURLを偽装できるセキュリティ・ホールがIEに,OEユーザーは特に注意 (2004/04/05)
IEに,ダウンロードするファイル名を偽装されるセキュリティ・ホール (2004/01/29)
米MS,“URLの偽装問題”対策としてIEの仕様を変更するパッチを提供予定 (2004/01/29)
URL偽装にご注意を!―Symantecのウイルス研究者が警告 (2004/01/28)
解消されない“URLの偽装問題”,1月もIEのパッチは公開されず (2004/01/21)
URLを偽装できるIEのセキュリティ・ホールは危険,「プロパティ」情報も信用できない (2003/12/17)
IEにURLを偽装できるセキュリティ・ホール,安易なクリックは禁物 (2003/12/11)