【パソコンソフト】“サイト汚染攻撃”対策　緊急パッチは不十分

先の号外記事で、大手サイトを汚染して悪意あるJavaスクリプトを実行させる脆弱性に対応する緊急パッチをマイクロソフトがリリースした旨をご報告しました。

インターネットセキュリティ:　【号外】 サイト汚染攻撃用パッチリリース

上記記事で、既にこの緊急パッチが十分なものではない恐れがあることを指摘しましたが、やはりこのパッチが2つの側面において十分でないことが明らかになってきました。

ADODB.stream経由以外の攻撃方法も存在する

IT Proにおいて、以下のような報告がなされています。

IT Pro:　IEの“攻撃回避プログラム”は万全ではない，回避できない攻撃手法が公開されている

すなわち、IEの脆弱性はADODB.streamとはなんら関係がなく、今回の緊急パッチは肝心の脆弱性を修正するものではない、ということです。
ネット上では既に、ADODB.stream以外のコントロールを使う攻撃手法が出回っているとのことです。

緊急パッチの適用はもちろん必要ですが、そのほかに

• IE以外のブラウザを併用する
• IEの設定でJavaスクリプトやActiveXを無効にする
• 勝手に送られてきたメールのリンクはクリックしない
• アンチウィルスソフトをインストールし、パターンファイルをアップデートする

といったことも、合わせて実施する必要があります。

乗り換え先のブラウザの脆弱性に注意

このサイト汚染攻撃に利用される脆弱性を回避するためには、他のWebブラウザを併用・乗り換えすることが有効な対策です。
しかし、IE以外のWebブラウザにも脆弱性はあります。最近、Netscape Navigator、Mozilla、OperaなどのWebブラウザで、フレーム中に任意のページを表示させてしまうことができる脆弱性が報告されました。

IT Pro:　MozillaやOperaなどにも，フレーム中に任意のコンテンツを表示させられるセキュリティ・ホール

デモページの実施結果を示す写真を見ると、マイクロソフトのサイトのフレームの中に、本脆弱性を報告したSecuniaのページが表示されてしまっていることがわかります。
これを利用すれば、「銀行のサイトそっくりに作った偽装サイト」を作って「本物の銀行のサイト」のフレームの中に埋め込み、パスワードなどの個人情報を抜き取ることが可能になります。

現時点で、本脆弱性の影響を受けないブラウザは以下のとおりとされています。

• Mozilla Firefox 0.9 for Windows
• Mozilla Firefox 0.9.1 for Windows
• Mozilla 1.7 for Windows
• Mozilla 1.7 for Linux

乗り換える際には、上記のいずれかのブラウザにすることをおすすめします。
（特に、現在Operaは日本語版が7.23までしかリリースされておらず、7.5以前のバージョンにはこれ以外の脆弱性も報告されています。）