2004年05月12日(水) 14時20分

月例パッチの裏で取り残されたIE/Outlookの問題（ITmediaエンタープライズ）

　マイクロソフトは5月12日、Windowsの月例パッチを公開した（別記事参照）。Windows XPとWindows Server 2003に存在する、「ヘルプとサポートセンター」の脆弱性を修正するものだ。

　一方で残念ながら、いまだ修正にいたらないInternet Explorer（IE）およびOutlook製品の複数のセキュリティホールが、セキュリティ関連メーリングリストで報告されている。単独ではそれほど深刻な問題とはいえないし、脆弱性というよりも「仕様」に近い部分もあるが、他の、より深刻な脆弱性と組み合わせられたり、いわゆるフィッシング詐欺に悪用される可能性がある点で注意が必要だ。ユーザーがそれと知らないうちに悪意あるサイトに誘導されたり、攻撃コードを実行してしまったり、あるいはスパマーの手に自ら自分の情報を渡してしまうおそれがあるからだ。

　1つは、Outlook 2003に存在する問題だ。特定のタグを仕込んだHTML形式の電子メールを送り付け、もしユーザーがそれに返信してしまうと、テンポラリディレクトリ内に保存されたHTMLファイルへのパスを容易に推測できてしまうというものだ。その上で、当該ユーザーを悪意あるWebサイトへ誘導すれば、HTMLファイルに仕込まれた任意のコマンドを実行させることが可能という。

　2つめの問題は、これまでもたびたび指摘されてきた「URL偽装」である。今回報告されたのは、イメージタグに細工を施すことにより、ステータスバーに表示されるURLを偽装できてしまうという問題だ。この問題は、IE 5.01/5.5/6やOutlook Express/Outlook 2002以前などに存在する。1つめの問題とは逆に、Outlook 2003には存在しない。

　URL偽装の問題を悪用されれば、ユーザーが意図したサイトとは別のサイトにアクセスしていながら、それを気づかせないようにすることが可能だ。具体的には、オンラインショッピングサイトなどに見せかけて、攻撃コードを仕込んだサイトに誘導されたり、フィッシング詐欺を仕掛けられるおそれがある。

　この問題にひっかからないためには、Webでもメールでも、リンクをすぐに信用するのではなく、一呼吸置いて確認してからアクセスすべきだ。それも、できればリンクを直接クリックするのではなく、手でURLを入力するほうがいい。Webならば、JScriptコマンドを用いるなどして目視でURLを確認する方法があるし、メールならばHTML形式ではなくテキスト形式で受信し、不審な点があればヘッダーを確認するという手がある。

　また、引っかかってしまった後の悪用を防ぐために、IEのインターネット ゾーンのセキュリティ設定を「高」にする、ウイルス対策ソフトを常に利用するといった方策も必要だろう。さらに、Webサイトで個人情報などを入力する際には、通信が暗号化されていることを確認するとともに、相手がこうした偽装テクニックを用いてフィッシング詐欺をしかけていないか十分に注意する必要がありそうだ。

　だが、残念な知らせもある。やはりセキュリティ関連メーリングリストに寄せられたある投稿によれば、IEに関して、HTTPS通信を行う際に相手を確認するよすがとなる電子証明書についても、HTMLタグに細工を施すことで偽装が可能であると報告されている。手元では確認できていないが、悪意あるWebサイトの運営者が、第三者の電子証明書やWeb上のコンテンツをかたり、ユーザーに信用させるという手口だ。これもフィッシング詐欺に悪用される可能性が高く、注意が必要だ。

http://www.itmedia.co.jp/enterprise/ （ITmediaエンタープライズ）

http://headlines.yahoo.co.jp/hl?a=20040512-00000017-zdn_ep-sci