iPhoneのSafariにURL表示問題、詐欺サイトで悪用の恐れ

[鈴木聖子，ITmedia]

　AppleのiPhoneに搭載されたWebブラウザのSafariに、詐欺サイトなどに悪用されかねない問題があることが分かったとして、セキュリティ研究者が米SANS Software Security Institute（SSI）のブログでコンセプト実証サイトを公開した。

　研究者によると、MicrosoftのInternet Explorer（IE）やGoogle Chromeなどの主要なWebブラウザは、Webサイトが任意でアドレスバーのURLを書き換えたり、アドレスバーを隠したりすることができない仕組みになっている。これを許せば、URLを偽装して信頼できるサイトに見せかけ、フィッシング詐欺などに利用される恐れがあるためだ。

　しかしiPhone上のSafariでは、このアドレスバーを隠した状態で表示できてしまうという。研究者はバンク・オブ・アメリカのモバイルサイトを使ったコンセプト実証サイトを公開。iPhoneで同サイトを閲覧すると、同銀行のドメインを記した偽のアドレスバーが画面最上部に表示され、正規サイトであるかのように見える。本物のアドレスバーはその上に隠れた状態になっており、ユーザーがスクロールしなければ詐欺サイトであることが分からない仕掛けになっている。

SSIで再現した様子

　本物のアドレスバーはページが読み込まれている間は一瞬見えるが、読み込みが完了するとすぐに消えてしまうため、ユーザーには気付かれにくいという。

　iPhoneは画面の大きさが限られているため、iOSの設計上このような仕様になっているが、詐欺サイトなどによる悪用を防ぐためにはアドレスバーが隠せないようにすることが望ましいと研究者は指摘する。Webサイトが任意で変更できない場所にドメインが表示されるようにすれば、IEやChromeでドメインが強調表示されるのと同じような効果を出すことができるはずだと提言している。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら