IEのポップアップは「仕様」--MS、フィッシング詐欺の懸念に対応せず

Joris Evers(CNET News.com) 2005年06月24日 12時35分

  • このエントリーをはてなブックマークに追加

 ユーザーをだまして個人情報を盗み出そうとするハッカーの攻撃に関して、Microsoftは「Internet Explorer(IE)」をアップデートする予定がないことがわかった。

 この手口の攻撃では、正規のウェブサイトの上にポップアップウィンドウを表示させるために、JavaScriptが利用されている。ポップアップウィンドウは正規サイトの一部であるように見せかけられているが、実はそれとは異なる悪質なサイトにリンクしているという。これにだまされたユーザーは、詐欺行為をはたらく犯罪者に個人情報を送信してしまう可能性がある。

 米国時間21日、MicrosoftのTechNetウェブサイトには、こうしたポップアップが攻撃に悪用されるおそれは確かにあるが、ウェブブラウザにおける複数のウィンドウ表示はあくまで機能であり、脆弱性ではないという旨の勧告が掲載された。

 Microsoftは同勧告に、「これは、現行のウェブブラウザの標準的な機能が、どのようにフィッシング攻撃に悪用されうるかということを示す一例だ」と記している。

 フィッシングは昨今よく見られるタイプのオンライン詐欺で、ユーザー名やパスワード、クレジットカード番号などの個人情報をユーザーから盗み出そうとするものだ。通常のフィッシング詐欺では、電子メールと、正規のものに見せかけた偽のウェブページが用いられる。

 今週に入り、セキュリティ監視企業Secuniaがこの問題に関する警告を発し、その危険度を「それほど深刻ではない」と評価した。Secuniaによれば、同問題は主なブラウザの大半に影響を与えるものだという。

 問題は、JavaScriptのダイアログボックスが、当該のポップアップの出所を表示も含みもしないというところにある。攻撃を成功させるには、ユーザーに悪質なウェブサイトを閲覧させるか、銀行などの正規サイトを閲覧する前に悪質なサイトへのリンクをクリックさせなければならない。そこで攻撃者は、正規サイトの上にウィンドウが表示されるようにして、ユーザー名やパスワードといった情報を聞き出そうとする。情報が入力された場合、それは銀行などではなく、攻撃者の元へ送信されることになる。

 Mozilla Foundationの「Firefox」の開発者らは、こうした攻撃の撲滅に取り組んでいる。同社は4月にパッチを開発し、ユーザーが信頼できるサイトのものではないJavaやFlashベースのポップアップをブロックできるようにした。

 一方Operaは、同社の最新ブラウザ「Opera 8.01」では、ポップアップの出所の表示が可能になり、そのURLが正規サイトのものであるかどうかを確認できるようになったと述べている。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR