主要Webブラウザにポップアップウィンドウ偽装の脆弱性、フィッシング詐欺につながるおそれ

Secuniaは12月8日、Internet Explorerをはじめ複数のWebブラウザに、ポップアップウィンドウの内容を偽装される恐れのある脆弱性が存在するとして警告を発した。

[ITmedia]

　デンマークのセキュリティ企業Secuniaは12月8日、Internet Explorerをはじめ複数のWebブラウザに、ポップアップウィンドウの内容を偽装される恐れのある脆弱性が存在するとし、アドバイザリを公開した。

　この脆弱性は広範なWebブラウザに存在している。少なくとも、IE 5.01／5.5／6（Windows XP Service Pack 2を適用していても影響を受ける）のほか、Mozilla 1.7.3、Firefox 1.0、Opera 7.54、Safari 1.2.4、Konqueror 3.2.2-6で確認されたほか、他のバージョンでも影響を受ける恐れがあるという。

　この脆弱性を悪用されれば、「信頼できる」Webページからポップアップウィンドウを開いたはずなのに、その内容が他のサイトに「ハイジャック」されてしまう。つまり、金融機関、オンラインショッピングなど何でもいいが、本来のWebサイトをクリックして開いたポップアップウィンドウの内容が、悪意ある攻撃者が用意したものに差し替えられてしまう。

　脆弱性が実際に発動するには、攻撃者がポップアップウィンドウのターゲットネームを把握している必要がある。また犠牲者が、正当なWebサイトを訪問する前に攻撃者のWebサイトにアクセスし、そのウィンドウを開いたまま別のウィンドウで正当なWebサイトを開くなど、いくつかの条件が必要になる。

　しかしながら、Secuniaが脆弱性のデモで示しているとおり、いかにも「正当なサイト」のふりをして、ポップアップウインドウに悪意あるコンテンツを埋め込むことは容易だ。たとえば、犠牲者に最初にアクセスさせるべき悪意あるWebサイトを、正当なサイトへの「誘導」に見せかけ、その上で偽装ポップアップウィンドウ内にフォームなどを埋め込んでしまえば、頻発しているフィッシング詐欺のできあがりである。その意味で危険性は高く、注意が必要だ。

　残念ながら、Secuniaがこの問題をベンダー側に通知したところ、返答を返してきたのは3社にとどまっているという。手元で探した範囲でも、ベンダーからの通知やパッチ提供は見られない。

　Secuniaのアドバイザリのとおり、この脆弱性はWindows XP SP2のポップアップウィンドウブロック機能をオンにしていても悪用される。Secuniaでは現時点での解決策として、とにかく不審なWebサイトは訪問しないよう推奨している。他に、JavaScrpitを無効にしておくことも挙げられるだろう。