「Internet Explorer(IE)11」に、すべてのセキュリティ更新ファイルを適用しても修正されない、極めて深刻な脆弱性が発見された。攻撃者はこの脆弱性を悪用することで、ウェブサイトにおけるユーザーの認証情報を窃取できる。また、あらゆるウェブサイトのコンテンツを外部から改ざんできるため、正規サイトを通じたフィッシング攻撃に悪用される可能性もある。
この脆弱性はセキュリティ企業Deusenの研究者であるDavid Leo氏が公表したもので、「Windows 7」と「Windows 8.1」で実行されるIE 11が影響を受ける。SecLists.Orgに掲載された詳細によると、攻撃者は脆弱性を悪用することで、IEを含むウェブアプリケーションの重要な保護機能である「同一生成元ポリシー」を回避して、ユニバーサル・クロスサイト・スクリプティング(UXSS)攻撃を実行できる。これにより、攻撃者は認証Cookieやユーザーが入力した認証情報などを窃取するだけでなく、細工を施したHTMLコードやCookie情報などを外部からコンテンツに挿入し、正規のサイトを通じたフィッシング攻撃を仕掛けることもできる。
Leo氏は脆弱性の概念実証例も公表している。そこでは、脆弱性を通じてニュースサイト「Daily Mail Online」のコンテンツを外部から改変し、「Hacked by Deusen(Deusenがハッキングした)」という文字列を表示させるエクスプロイトが公開されている。
提供:David Leo氏
Tumblrの上級セキュリティエンジニアであるJoey Fowler氏は、SECLISTS.ORGに掲載された脆弱性情報にコメントを寄せ、若干の困難はあるが間違いなく攻撃は実行可能だと述べている。また同氏はコメントの中で、フレームを用いたウェブページに「DENY」または「SAMEORIGIN」を値に持つ「X-Frame-Options」ヘッダが設定されていない場合、脆弱性を悪用して通常のHTTPとHTTPS間の各種制限も回避できる可能性があると付け加えている。
Leo氏は米国時間2014年10月13日に、脆弱性に関する情報をMicrosoftに報告した。Microsoftの担当者は米ZDNetの取材に対し、脆弱性の悪用事例は確認されていないとしたうえで、最近のバージョンのIEではユーザーをフィッシング攻撃から保護する「SmartScreen」が既定で有効にされており、脆弱性を修正するセキュリティ更新も準備中だと回答した。また、回答の中で同社はユーザーに対し、信頼できないソースからのリンクは開かず、信頼できないウェブサイトにはアクセスせず、またウェブサイトを離れる前には必ずログアウトするよう推奨している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
