★阿修羅♪ 現在地 HOME > 掲示板 > IT7 > 211.html
 ★阿修羅♪
次へ 前へ
また、IEにフィッシングの危険--ActiveXに問題【海外CNET Networks→ヤフーヘッドライン・ニュース】
http://www.asyura2.com/0411/it07/msg/211.html
投稿者 名無しB 日時 2004 年 12 月 20 日 22:43:34:0lJ1dbid3G/dc
 

http://headlines.yahoo.co.jp/ (ヤフーヘッドライン・ニュース)
http://headlines.yahoo.co.jp/hl?a=20041220-00000001-cnet-sci
-------------------------------------------------------------引用始め
IEにフィッシングの危険--ActiveXに問題

 Microsoftが、最も安全なバージョンのWindowsを使っているユーザーでもフィッシングの被害にあうおそれがある欠陥が、
Internet Explorer(IE)のなかに新たに見つかったとの報告について調査を進めている。同社は米国時間17日、Secuniaなど
複数のセキュリティ企業から出された報告について、調査を進めていることを明らかにした。これらの報告によると、IE6の
なかに見つかった脆弱性が原因で、最新のセキュリティアップデートであるService Pack 2が適用されたWindowsや同OSの
これまでの各バージョンを搭載したPCに対し、フィッシング攻撃が仕掛けられてしまうという。フィッシング攻撃では通常、
銀行などの企業の本物のサイトのように見える偽のサイトを使ってユーザーをだまし、クレジットカード番号などの個人情報を
入力させようとする。

 Secuniaの勧告によると、このウェブブラウザの欠陥が悪用された場合、見破るのが難しい偽のウェブサイトを制作することが
可能になり、そこに偽のSSL署名認証さえ埋め込めてしまうという。また、フィッシング犯はどのウェブサイトから発行された
クッキーでも乗っ取ることができてしまうと同社は述べている。

 SecuniaのCTO(最高技術責任者)Thomas Kristensenは、「問題は、ユーザーがブラウザの表示内容を信用できないという点だ。
この点を悪用し、ユーザーをだまして信用できるウェブサイトだと思わせ、情報を入力させることができる。入力された情報は
悪質なサイトに記録され、コントロールされてしまう」と語った。

 IEユーザーに大混乱を引き起こす可能性があるにも関わらず、Secuniaではこの脆弱性を「やや深刻」としか分類していない。
これは、この脆弱性がコンピュータネットワークへのアクセスには利用できないためだ。自社製品のセキュリティ強化を進める
Microsoftだが、今回の脆弱性が発見される以前にも何度も挫折を味わってきている。同社は8月にSP2を投入したが、この際同社
会長のBill Gatesは、さまざまな攻撃に対するシステム強化の上でSP2が重要な一歩になると大々的に宣伝していた。

 Microsoftのある関係者によると、同社はこの欠陥に関する調査を積極的に進めているという。また同社では、この脆弱性の
悪用を試みた攻撃があったとの報告はまだ受けていないと、この関係者は強調した。今のところ、Microsoftは顧客に対し、
同社が示している「Protect your PC(PCの自己防衛)」ガイドラインを読み、ファイヤウォールのインストールやソフトウェアの
アップデート、ウイルス対策ソフトウェアの動作などを行って、自分のPCを守るよう呼びかけている。Secuniaは勧告のなかで、
IE 6のDHTML Edit ActiveXコントロールにあるエラーが原因で、特定の状況で「execScript」機能を処理しようとした場合に、
この脆弱性が生じるとしている。この欠陥を悪用すれば、任意のスクリプトコードを実行できてしまうと同社は説明している。
フィッシング犯はこの欠陥をついて偽のウェブサイトへのリンクを付した電子メールを送付できる。リンク先の悪質なウェブサイトでは、
URLが一瞬表示されるものの、すぐにユーザーは別の偽サイトへ転送されてしまうという。

 「問題は、ActiveXコントロールに渡される特定の入力情報が、ブラウザに返されるまえに正しく確認されない点にある。
この点を悪用すれば、ブラウザに信頼できるウェブサイトにアクセスしていると信じ込ませながら、そのウィンドウに表示される
内容をコントロールするコードを埋め込めてしまう」(Kristensen)

 Secuniadでは この手口の例(http://secunia.com/internet_explorer_cross-site_scripting_vulnerability_test/)を公開しており、
またユーザーに対してはこの問題を修正するパッチが出されるまでActiveXを無効にしておくようアドバイスしている。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

海外CNET Networksの記事へ(http://news.com.com/2100-1002_3-5495719.html

[CNET Japan]
http://japan.cnet.com/ - 12月20日10時49分更新
-------------------------------------------------------------引用終り

 次へ  前へ

IT7掲示板へ



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。