2004年01月29日(木) 09時06分

信じられる表示はどれ？　IEを悩ませる「詐称」の問題（ITmediaエンタープライズ）

　2003年末、Internet Explorer（IE）のアドレスバーやステータスバーに、実際にアクセスしようとしているURLとは異なるURLを表示できてしまうというURL詐称の問題が報告された。残念ながらこの問題は、ユーザーをだまして信用情報などを手に入れようとするフィッシング詐欺などで、実際に悪用され始めているようだ。

　米Microsoftは1月27日、新たなサポート情報を公開し、IEの仕様変更によってこの問題に対処する方針を公にした。同社では問題を確認してからというもの、その解決に向けて取り組んできたというが、1カ月余を経てようやく方針が見えてきたことになる。

　このURL詐称の問題は、リンク先として示すURLの中に特殊な制御文字を埋め込むことによって、ユーザーの目に映るURLとはまったく異なるサイトにアクセスさせることができてしまうというもの。もしもこの問題を悪用する側が、誘導先のHTMLに細工を施し、「騙られる」サイトと似たようなデザインまで作り上げてしまったりすれば、フィッシング詐欺に引っかかる確率はさらに高くなってしまうだろう。

　Microsoftが公開したサポート情報によると、時期は未定ながら、ソフトウェアアップデートによってこの問題に対処する計画という。

　具体的には、ベーシック認証の際に用いられるユーザー名やパスワードの取り扱い方を変更することにより、この問題を回避できるようにする予定だ。これまでのIEおよびWindowsエクスプローラは、URLの中にこれらの情報を埋め込むことによってベーシック認証を行うことができたが、新たなソフトウェアアップデートではこの機能を無効にするという。

　これはつまり、これまでのIEの挙動とは異なる動きを採用するということでもある。このためシステムの作りこみ方によっては、認証情報の渡し方に関連して、既存のWebサイト/アプリケーションに若干手を加える必要も生じる見込みだ。

新たに浮上した2つの「詐称」

　これでひとまず、ユーザーが最もだまされやすいであろうURL詐称の問題に解決の道筋が見えたことになる。だが一方でここ数日の間に、IEおよびWindowsエクスプローラに関連するまた別の「詐称」問題が浮上している。

　1つは、別記事で紹介したフォルダ詐称の問題だ。実体はスクリプトと実行ファイルを含んだ——非常に危険な——HTMLファイルであるにもかかわらず、IEやWindowsエクスプローラ上ではごく普通のフォルダに見せかけることができるという。Windows XPのユーザーがフォルダだと思ってそれを開くと、任意のファイルが実行されてしまう恐れがある。

　もう1つはIE 6に関する問題だ。ファイルをダウンロードする際、表示されるファイルの拡張子を偽装できてしまうという（それ以前のバージョンのIEに関しても、同様の問題が存在する可能性がある）。

　これを悪用すれば、「ファイルのダウンロード」ウィンドウの中で、「.pdf」のように問題などなさそうな拡張子を表示させ、安全なファイルだとユーザーに思い込ませることができる。ユーザーが安心して「開く」を選択すると、関連付けられているアプリケーションが動作する代わりに、攻撃者が仕込んだ実行形式のファイルが動作してしまう、といったシナリオが考えられる。

　こうした「詐称」問題は、ユーザーをだまし、自ら悪意あるファイルを実行させるよう仕向けるのに格好の足がかりとなりかねない。

　しかし今のところ、いずれの問題についても根本的な解決策はない。Secuniaではフォルダの詐称に関しては、不審なフォルダを開かないよう心し、かつウイルス対策ソフトを運用するなど基本的な対策を取るよう呼びかけている。またダウンロードファイルの拡張子偽装にだまされないようにするには、「ファイルのダウンロード」では決して「開く」を選択せず、いったん「保存」するべきとしている。

http://www.itmedia.co.jp/enterprise/ （ITmediaエンタープライズ）

http://headlines.yahoo.co.jp/hl?a=20040129-00000001-zdn_ep-sci