2004年07月01日(木) 09時27分
修正済みのはずだったのに--IEの最新版にセキュリティーホール(CNET Japan)
Microsoftのウェブブラウザ、Internet Explorer(IE)の最新版に、以前のバージョンでは修正されていたセキュリティホールが再び見つかった。
セキュリティ会社のSecuniaは、IEのバージョン5.01、5.5および6.0のなかにあるこの欠陥について
警告を行った 。この問題は6年前、IEのバージョン3.0と4.0で見つかったのと同じもので、その時点では修正されていた。
「以前に1度修正していた問題が、その後のバージョンで再び発生するといったことが、Microsoftのような企業で起こったことに懸念を抱いている」とSecuniaの最高技術責任者(CTO)Thomas Kristensenは述べている。
Microsoftはこのところ、相次ぐIEの脆弱性の発覚に悩まされている。最近では、6月29日(米国時間)に、IEの欠陥を悪用してポップアップ広告経由であるプログラムをユーザーのPCにインストールする、という攻撃が報告されている。このプログラムは、50件近い金融機関サイトの監視リストを保持していて、被害者がこのリストに記載されているサイトにアクセスするたびにアカウント名とパスワードを奪うというものだ。
IEの脆弱性があまりに多いため、ユーザーに他のブラウザを採用するよう勧めるセキュリティ研究者もいる。オンラインでの脅威への防衛を担当する米国の公式組織、米国コンピュータ非常事態対応チーム(U.S. national computer emergency response team:US-CERT)も、セキュリティ管理者向けの6つの対応策の1つとして、Microsoft以外のブラウザへの移行を検討するようアドバイスしている。
Secuniaの最新の警告によると、今回の脆弱性は、ユーザーが複数のIEブラウザを開いている場合に影響するもので、ハッカーが開いている1つのブラウザを通じて、ユーザーの知らない間に別のブラウザのコンテンツを勝手に変更できてしまうという。
ハッカーはこの攻撃方法を使って、正当なウェブページのなかに、銀行口座やクレジットカード情報といった個人情報の入力を求める悪質なサイトへのリンクを挿入できる。この場合、信頼できる正当なサイトからリンクが張られているため、被害者は有害なサイトにリダイレクトされたことに気付かないかもしれない。またハッカーは、ウェブページ内にリンクを挿入し、ユーザーを騙して悪質なソフトウェアをダウンロードさせることもできてしまう。
「ユーザーが自分のブラウザで見ているものを信じられないというのは大問題だ」(Kristensen)
先週、これとは別の脆弱性が見つかったが、こちらのほうはウェブサイトをウイルスの感染源にしてしまうというものだった。この脆弱性は、悪質なコードの出所であるロシアのサーバがインターネットエンジニアらの手で閉鎖されたことで、ひとまず危険の芽を摘まれた。
また6月には、あるアドウェア業者がこれまで明らかになっていなかったIEの脆弱性を利用し、ポップアップ広告を表示させるツールバーを被害者のコンピュータにインストールしていたことが明らかになった。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
海外CNET Networksの記事へ
関連記事
マイクロソフトが取り組む2つのセキュリティ向上策 - 2004/06/30 20:21
「オンラインすり」にご用心--新たなトロイの木馬プログラム見つかる - 2004/06/30 09:54
IEのライバルにチャンス到来--脚光浴びるブラウザセキュリティ - 2004/06/29 12:11
ウェブサイトにアクセスしただけで感染--IEユーザーに警告 - 2004/06/25 11:51
Internet Explorerに新たなバグ--フィッシング詐欺被害の可能性も - 2004/06/15 08:14
IEに「極めて重大」な欠陥--勝手にアドウェアが組み込まれる危険あり - 2004/06/10 09:57
■CNET Japanニューズレター(無料)
毎朝メールで最新テクノロジー・ビジネス情報をお届けします。お申し込みはこちら。
[CNET Japan]
http://japan.cnet.com/ (CNET Japan)
http://headlines.yahoo.co.jp/hl?a=20040701-00000001-cnet-sci