［米国］
IEのバグでGoogle Desktopユーザーにフィッシング被害の危険性

（2005年12月05日）

　米国マイクロソフトのInternet Explorer（IE）ブラウザに、フィッシング詐欺でGoogle Desktopユーザーのハードディスク・ドライブをひそかにスキャンするのに利用される危険性のあるバグが存在していることが、イスラエルのハッカーの指摘で明らかになった。ユーザーがフィッシング・メールにだまされてうっかり偽造Webサイトにアクセスすると、この脆弱性を突かれてユーザーのハードディスク・ドライブからクレジットカード番号やパスワードなどの秘密情報が盗まれるおそれがあるという。

　この攻撃の仕組みに関する詳しい解説とコンセプト実証コードをブログで公開したハッカーのマタン・ジロン氏は、電子メール取材に答え、「IEを利用しているGoogle Desktopユーザーは完全に危険にさらされている。経験豊かな攻撃者は、そうしたユーザーのハードディスクドライブから、パスワードやクレジットカード番号などをひそかに入手することができる。Google Desktopは電子メールのインデックスも作成するため、メール内の情報も盗まれる危険がある」と指摘した。

　CSS（Cascading Style Sheets）はWebサイトのレイアウトなどの外観（ルック＆フィール）を統一するために広く使用されているが、IEがCSSフォーマットのWebページ・レイアウト情報を処理する方法に問題があるため、攻撃者はこのバグを突くことで、Google Desktopを操作して秘密情報を盗むことができる。ただし、この攻撃が成功するのは、フィッシングでユーザーを欺いてWebサイトにアクセスさせることに成功した場合のみである。

　また、この攻撃は、IE 6とGoogle Desktop v2の組み合わせに対して有効であり、他のバージョンのIEにも有効である可能性があるが、FirefoxやOperaなどのIE以外のブラウザには通用しない。IEのユーザーも、JavaScriptを無効にすることで、この攻撃を回避することができる。

　IEユーザーは今、アクセスするWebサイトに気をつける必要がある。というのも、IEにはもう1つ、まだパッチが提供されていない深刻な脆弱性が存在しており、それを突いてユーザーのPCがコントロールされるおそれがあるからだ。その脆弱性を突くコンセプト実証コードは1週間前に公開され、すでに攻撃コードも登場している（既報）。この攻撃がフィッシングによりユーザーを偽ってWebサイトにアクセスさせることで行われる点、また、JavaScriptを無効にすることによって攻撃を回避できる点に類似性がある。

　CSSの脆弱性について、マイクロソフト幹部のコメントは得られていないが、同社のPR代理店の広報担当者によると、この問題は調査中であり、マイクロソフトはまだ、この脆弱性を突いた攻撃の報告は受けていないとしている。

(Originally reported by Robert McMillan, IDG News Service 12/02/2005)

(IDG News Service)