2004年07月05日(月) 23時31分

IEの“フレーム詐称問題”はセキュリティ設定で回避可能（impress Watch）

　デンマークのセキュリティベンダー・Secuniaを始め、各種ニュース記事でも話題になっている、Webブラウザーの“フレーム詐称問題”。HTMLタグの一種である“フレーム”を利用して、Webブラウザーのアドレスバーに記述されたサイトとは別ドメインのWebページを表示できてしまうというものだ。

　Secuniaはこれまで、“信頼できるサイト以外は閲覧しない”といったことを回避策として提案していたが、同社は2日、IE v5.01/5.5/6.0では設定を変更することで本件を回避可能なことを公表した。

　IE v5.01/5.5/6.0で、別ドメインのページを表示できなくするには、［ツール］−［インターネット オプション］−［セキュリティ］で、別ドメインのページを閲覧不可としたいゾーン（多くは“インターネット”）を選択する。ダイアログ内の［レベルのカスタマイズ］ボタンを押し、下の方にある項目“異なるドメイン間のサブフレームの移動”で、“無効にする”をチェックすればよい。なおこの項目は、セキュリティパッチ等を一度もあてたことのないIE v5.01/5.5/6.0でも設定可能。

　またこの公表を受け、窓の杜編集部では同問題が発生するといわれているWebブラウザーを調査し、設定項目の変更でこの問題を回避可能かどうかを検証した。下記がその検証結果となっている。

※検証に使用したサンプル

□Secunia - Multiple Browsers Frame Injection Vulnerability Test

http://secunia.com/multiple_browsers_frame_injection_vulnerability_test/

　結果を見ると、フレームを利用して別ドメインページを表示できると公表されていたWebブラウザーのなかで、設定変更によって回避可能なWebブラウザーは、IE v6.0 SP1のみ。他のWebブラウザーは、設定を変更せずに回避できていたものと、設定項目が存在せず回避不可能なものしかない。

　そもそもフレームという技術は、Webで利用される技術開発とその標準化をとりまとめる国際団体“World Wide Web Consortium（以下、W3C）”が定義したHTMLの仕様書の最新版「HTML 4.01仕様書（HTML 4.01 Specification）」にも掲載された、複数HTMLファイルをひとつのWebブラウザーウィンドウに表示する技術。

　この技術のなかで今回問題となるのは、すでにフレームで分割表示されているウィンドウのうちの1区画のみを、単なるリンククリックだけで別サイトのページに書き換えることができてしまうという、フレームの仕様である。

　しかし各種Webブラウザーは、当然のことながらW3Cの仕様をもとにHTMLの表示エンジンが作成されている。こうして考えると、本件はWebブラウザーの脆弱性というより、HTMLの仕様自体に問題があると言える。

　とはいえ問題解決への近道はやはり、Webブラウザー作者がフレームを利用して別ドメインのページを表示できなくしてしまうのが一番だ。ユーザーがその都度、表示・非表示を選択できるのもいいだろう。W3Cが決めているのはHTMLタグに関する仕様のみであり、それがユーザーに採用されるかは有名Webブラウザーで表示できるかにかかっているのが現状。W3Cよりも有名Webブラウザーのほうが、即効性も実効性も高いのは明らかである。

□Secunia - Advisories - Internet Explorer Frame Injection Vulnerability

http://secunia.com/advisories/11966/

□HTML 4.01 Specification（W3Cが定義したHTMLの仕様書）

http://www.w3.org/TR/html401/

（岩崎 綾）（impress Watch）

http://headlines.yahoo.co.jp/hl?a=20040705-00000027-imp-sci