もう何度目？ IEのアドレスバー偽装問題、再び

[ITmedia]

　8月16日、Internet Explorer（IE）のアドレスバー表示を偽装できる新たな脆弱性が発見されたとして、米Secuniaがアドバイザリを公開した。

　昨年から今年にかけて、細工を施したWebページにアクセスさせることにより、IEをはじめとするWebブラウザのアドレスバー表示を偽装できるという脆弱性が、相次いで指摘されてきた。いずれも、実際にアクセスしているWebページとは異なるURLをアドレスバーに表示させることで、ユーザーをだますのに悪用される恐れがある。金融機関やオンラインサービスを騙ってIDやパスワードといった重要なデータを盗み取ろうとするフィッシング詐欺などがその例だ。

　このたび公表された脆弱性もその一種で、IE 6以前に存在するという。問題を指摘したLiu Die Yu氏によると、細工を施し、ロケーションフィールドを偽造することで、あるサイトから別のサイトに移動しているのにアドレスバー表示が更新されない状態になる。これを悪用すれば、悪意あるサイトに誘導しながら、アドレスバーには信頼できるサイトのURLを表示させるといった偽装が可能になるという。

　この問題に対するパッチは公開されておらず、ActiveScript機能を無効にするなどして自衛するしかない。ただしSecuniaによると、先日公開されたWindows XP Service Pack 2を適用しているマシンでは、公にされた攻撃手法は通用しないという。IE以外のWebブラウザを利用するのも1つの手だ（が、Operaなど他のWebブラウザでも、いくつか偽装問題が指摘されている）。