セキュリティ関連メーリング・リストのBugtraqにおいて、Internet Explorer(IE)のステータス・バーを偽装する手口が次々と報告されている。ステータス・バーの偽装は、フィッシングなどに悪用される危険性が高い。
■roozbeh afrasiabi氏が報告した脆弱性
1つは、roozbeh afrasiabi氏が報告しているFlashを利用したものだ。
・Bugtraq(roozbeh afrasiabi氏 Re: New URL spoofing bug in Microsoft Internet
Explorer):
http://www.securityfocus.com/archive/1/380649
Flash(link.swf)の画像にリンクを埋め込むことで、画像をクリックするとFlash内で指定したリンク先へジャンプする。Flash自体に、<A
HREF=http://www.yahoo.com >などとしてリンクを設定しておくことで、ステータス・バーに表示されるURLが偽装できる。この手法は、2004/11/03日配信のHotFix
Weeklyの「Internet ExplorerでURLの偽装を可能にする脆弱性」で取り上げた「http-equiv氏が報告した脆弱性」の変形ともいえるもので、今後も同様の手口が開発される可能性がある。
公開されている実証コードをDA Labで実行したところ、IE 6 SP1などでURLの偽装が可能であることを確認した。Firefox 1.0では、画像上にマウス・カーソルを移動させると、カーソルの位置によって偽装したURLが表示された。この手法は、IE以外でも偽装される可能性がありそうだ。
■http-equiv氏が報告した脆弱性
2つ目は、http-equiv氏が新たな手法を報告している。Office Web Componentsを利用したExcelのスプレッド・シートをWebページ上に作成することで、ステータス・バーを偽装可能であるとしている。
・Bugtraq(http-equiv氏 Re: New URL spoofing bug in Microsoft Internet Explorer):
http://www.securityfocus.com/archive/1/380899
Office Web Componentsは、Web上に発行されたワークシートやグラフ、データベースの表示や制御を可能にするMicrosoft Officeのアドイン・ツールである。Office
Web Componentsがインストールされていない場合は、Webページ上にURLが表示されず(表示できないオブジェクトの×が表示される)、リンクをクリックしてもページのジャンプは行われなかった。なおOffice
Web Componentsは、Officeがなくても単独でインストール可能である。Office 2003アドインのOffice Web Componentsをインストールした環境で、http-equiv氏の実証コードを実行したところ、ステータス・バーの偽装が可能になったことを確認した。
・ダウンロード・センター(Office 2003 アドイン: Office Web Components):
http://www.microsoft.com/downloads/details.aspx?
FamilyID=7287252c-402e-4f72-97a5-e0fd290d4b76&displaylang=ja
この手法によるステータス・バーの偽装には、Office Web Componentsがインストールされていることが条件となるため、広くこの手法を悪用することは難しそうだ。しかし、これまでの手法とは大きくことなるものであるため、さらに改良されることで新たな手口として普及する危険性もある。URLの偽装については、引き続き注意が必要だ。
|