詳細:
問題となっているアドレス表示の偽装は、以下のようにURLにユーザー情報を含める形式を悪用するものです。
http(s)://username:password@server/index.html |
この形式を利用すれば、ベーシック認証のユーザー名とパスワードをURLに設定することで、このリンクをクリックするだけで、ベーシック認証を施したベージにアクセス可能となります。ベーシック認証とは、Webページへのアクセス時にユーザー名とパスワードの入力を求めるアクセス制御方法の1つです。ベーシック認証を設定したWebページにユーザーがアクセスすると、ユーザー名とパスワードの入力を求めるダイアログ・ボックスが表示されます。しかし、上記のように、ベーシック認証のユーザー名とパスワードをURLの中に設定すれば、このダイアログ・ボックスを表示することなく、URLの情報からユーザー認証を行うことが可能になります。
アドレス表示の偽装では、この機能を悪用し、以下のようなURLをリンクに設定します。
http://d-advantage.com@www.hotfix.jp/index.html |
この例では、一見すると「d-advantage.com」へアクセスするように見えますが、実際には「www.hotfix.jp」に接続され、「index.html」を取得しようとします。Internet
Explorer 6 SP1とInternet Explorer 6 for Windows Server 2003では、接続後、アドレス・バーには「http://www.hotfix.jp/index.html」が表示されますが、これらより古いバージョンのInternet
Explorer(IE)では、「http://d-advantage.com@www.hotfix.jp/index.html」と表示されるため、「www.hotfix.jp/index.html」ではなく「d-advantage.com」に接続されているとユーザーが誤認する可能性があります。
さらに、「http://www.d-advantage.com%01@www.hotfix.jp」のように2つのURLを「%01@」でつなげることで、アドレス・バーに「www.d-advantage.com」を表示させた状態で、「www.hotfix.jp」にジャンプさせることが可能です(注:本来「@」は半角文字です。ウイルス対策ソフトウェアによっては誤認識されるため、ここでは全角文字の「@」としています)。すでにJavaScriptを利用して同様のリンクを作成したり、異なる文字列でURLをつなげることで、通常のリンクに対して同様の仕掛けを作成したりする方法が公開されています。これを悪用すると、アドレス・バーの表記とは異なる偽装サイトに接続し、ユーザーに情報を提供したり、ユーザーから情報入力を促したりすることが可能になります。危険性の高い脆弱性なので、2004年2月3日に提供された修正プログラムの適用作業を速やかに開始してください。
|