悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2004年12月09日(木) 18時18分

主要ブラウザの内蔵機能を悪用するフィッシングの手口が明らかにCNET Japan

 セキュリティベンダーのSecuniaによると、すべての主要なウェブブラウザに内蔵されたある機能が、攻撃者に悪用される可能性があるという。攻撃者は、この機能を利用してウェブサイトにアクセスしてきたユーザーをだまし、ユーザーの機密情報を手に入れると、同社は米国時間8日に警告を発した。

 この機能を悪用したウェブサイトにアクセスすると、ユーザーはたとえば銀行のウェブサイトのような本物のサイトに飛ばされる。この転送先ではポップアップウィンドウが開かれ情報を入力するよう求めてくるが、実はこのポップアップウィンドウに表示されたコンテンツは攻撃者が書き換えたもので、入力した情報は攻撃者の手に渡ってしまう。Secuniaではこの問題を「欠陥」に分類している。この問題は、MicrosoftのInternet Explorer、Mozilla FoundationのMozillaおよびFirefox、Opera、オープンソースのKonqueror、それにApple ComputerのSafariに影響すると、Secuniaは自社サイトに載せた勧告のなかで説明している。

 「他のサイトがポップアップウィンドウのコンテンツを変更できるかを確かめたり、あるいはそのことを警告するようなブラウザはない」とSecuniaのCTO(最高技術責任者)Thomas Kristensenは、CNET News.comへの電子メールで述べている。「特定の機能を呼び出そうとして自分からリンクをクリックしたところ、ポップアップウィンドウが表示されたという場合には、そのウィンドウ内のコンテンツが悪意あるサイトによって変更されていると疑うユーザーはまずいない」(Kristensen)

 同社はこの欠陥を突いた攻撃例をデモ用に作成し自社サイトで公開しているが、この例では、Citibankのウェブサイトに飛ばされたユーザーが、そこで画像をクリックすると、Secuniaのプログラムがコントロールするポップアップウィンドウが表示される仕組みになっている。

 Microsoftはこの攻撃について、ブラウザの正当な機能を使ってユーザーを欺くものだと述べている。

 「当社の調査から、この報告に記されているのは、どの人気ウェブブラウザでも見られる機能の副産物的な振る舞いであることがわかった。アドレスバーを表示せずにウィンドウを開けるようにするこの機能は、各ウェブブラウザに組み込まれた信頼のメカニズムといえる」と、同社はCNET News.comに宛てた声明文に記している。

 Microsoftは、Windows XP Service Pack 2(SP2)をインストールしたユーザーのシステムにはいくつかのフィッシング対策ツールが備わっていることを強調した。また、ログイン用のIDやパスワード、あるいは個人情報などを聞いてくるウインドウでは、すべて情報を暗号化してやり取りしており、そのことを示すカギのアイコンがウィンドウ下端のステータスバーに表示されるはずだと、Microsoftは声明文のなかで述べている。

 「フィッシング詐欺の中には、ブラウザウィンドウの下端に偽のステータスバーと偽のアイコンを表示するものも出てきている。Windows XP SP2のInternet Explorerでは常に本物のステータスバーを表示することから、ユーザーはそのアイコンが本物かどうかを見分けることができる」

 しかし、Secuniaはブラウザメーカー各社が重要な点--つまり、ユーザーのほとんどは本物のサイトに居ると勘違いして、アイコンのような細かい点の変化に気付かないということを理解していないという。

 「ブラウザメーカー各社はネット上での悪質な行為の変化を考慮に入れていない。また自動的に悪質なコードをインストールするよう細工されたセキュリティホール以外にも懸念すべき点があることをわかっていない」(Kristensen)

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

海外CNET Networksの記事へ

関連記事
フィッシングの新手口が出現--グーグルなどの検索ユーザーを狙う - 2004/12/02 15:57
フィッシングサイトをクライアント側から識別するソリューション - 2004/11/24 18:12
迫り来るフィッシングのわな - 2004/11/22 10:00
銀行で待ち伏せ--オンラインバンク利用者を狙うトロイの木馬が出現 - 2004/11/12 12:32

 ■CNET Japanニューズレター(無料)
  毎朝メールで最新テクノロジー・ビジネス情報をお届けします。お申し込みはこちら。

[CNET Japan]
http://japan.cnet.com/
(CNET Japan) - 12月9日18時18分更新

http://headlines.yahoo.co.jp/hl?a=20041209-00000010-cnet-sci