編集部からのお知らせ
新着PDF集:データセンターの省電力化
「これからの企業IT」の記事はこちら

「Firefox」と「IE」にパスワード漏えいにつながる脆弱性--マイスペースも攻撃に

文:Tom Espiner(ZDNet UK) 翻訳校正:編集部

2006-11-24 11:10

 Mozillaの「Firefox 2」およびMicrosoftの「Internet Explorer(IE) 7」に、攻撃者がパスワードを盗むのに悪用できる脆弱性が存在していることがわかった。

 発見者のRobert Chapin氏は、これを「Reverse Cross-Site Request(RCSR)」の脆弱性と呼んでいる。これはハッカーが偽のログインフォームを使って、ユーザーのパスワードおよびユーザーネームを盗むことを可能にする脆弱性だという。Firefoxの「Password Manager」が、保存したパスワードおよびユーザーネームをこのフォームに自動入力してしまうことが、問題になっている。

 入力されたデータは、ユーザーの知らないうちに攻撃者のコンピュータに送信されると、Chapin Information Services(CIS)のウェブサイトは説明している。

 Chapin氏によれば、同脆弱性を悪用した攻撃は、ソーシャルネットワーキングサイト「MySpace.com」ですでに試みられており、ユーザーが生成したHTMLコードを追加できるタイプのブログや掲示板を利用しているユーザーであれば、だれもが攻撃対象になり得るという。

 「FirefoxおよびIE両ブラウザのユーザーは、信頼しているブログサイトや掲示板を閲覧しているときでも、こうした方法で個人情報が漏えいするおそれがあることを認識すべきだ」(Chapin氏)

 MySpace上に仕掛けられていた攻撃を発見したセキュリティ企業Netcraftは、偽のログインページがMySpace自身のサーバでホスティングされていたことを明らかにしている。

 偽ページには、クロスサイトスクリプティング(XSS)やオープンリダイレクトといった外部コンテンツが使われている兆候が一切認められないため、「非常に本物らしく見え、セキュリティを重視しているユーザーでもだまされる可能性が高い」と、CISは述べた。

 攻撃は、プロファイルページから起動するようになっていた。攻撃者は特別なHTMLを使って、MySpaceの本物のコンテンツを見えないようにし、代わりにみずから用意した偽のログインフォームを表示したのだという。

 Chapin氏は、IEおよびFirefoxのいずれも、ユーザーがフォームデータを送信する前に送信先を確認する機能を備えていないため、RCSR攻撃はXSSより成功する確率が高いと話した。この攻撃は信頼できるウェブサイトで実行されるので、ブラウザも警戒しないのである。

 CISは2週間前、保存したユーザーネームおよびパスワードをFirefoxがRCSRフォームに自動入力する件について、Mozillaに報告していた。一方IEは、正規のログインフォームが表示されるのと同じページにRCSRフォームが現れないかぎり、保存していたユーザーネームおよびパスワードを自動入力することはないため、Firefoxより攻撃は起こりにくいという。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    AWSが提唱する、モダン分析プラットフォームのアーキテクチャと構築手法

  2. クラウドコンピューティング

    AWS資料、ジョブに特化した目的別データベースを選定するためのガイド

  3. セキュリティ

    Zero Trust Workbook--ゼロ トラストの先にある世界を知るためのガイダンス

  4. セキュリティ

    「ゼロトラスト」時代のネットワークセキュリティの思わぬ落とし穴に注意せよ

  5. クラウドコンピューティング

    データ駆動型の組織でビジネスの俊敏性を実現するには?戦略的な意思決定とイノベーションを両立へ

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]