■フィッシング詐欺に悪用可能なIE6におけるタイトルバー偽装の件(準備稿)

まえがき＆おことわり

すいぶん前に気がついていた件なのですけれど、忙しさにかまけてIPAに報告するのをスッカリ忘れていました。今日は報告にあたって実証コード抜きで報告に使うはずの各種資料をメモ的に書いてみるテスト。

＃メモの理由？　例えば禁煙を誓ったヒトが「俺は禁煙するでぇ」と公言することで禁煙をせざるをえないように自分を追い込むメソッドと同じ理由です。現時点でIE,Fx,Operaにてそれぞれ１件ずつ報告すべきものを溜め込んでいますので少々焦り気味(涙

関連リソース

• http://takagi-hiromitsu.jp/diary/20040925.html#p02
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-0500
• http://internet.watch.impress.co.jp/cda/news/2005/02/22/6538.html
• http://d.hatena.ne.jp/hoshikuzu/20060130#P20060130BARSFAKE

また、アドレスバーの表示を強制する機能はないようだ。IE 6 SP2では、アドレスバーを隠したウィンドウでは、タイトルバーの冒頭にURLの一部（ドメイン名まで）が強制的に表示されるようになった。

Windows XP SP2のセキュリティ強化機能では、アドレスバーのないポップアップウィンドウを表示する際に、ポップアップのURLをウィンドウのタイトルバーに強制的に表示する。Secuniaによれば、長すぎるホストネームによってタイトルバーの偽装が可能だという。

報告の骨子

• IEを利用時にJavaScriptでポップアップされたアドレスバーを表示抑制されたサブウィンドウにおいてCVE-2005-0500よりも遥かに簡単な方法でタイトルバーを偽装できること
• すなわち、タイトルバーの冒頭に表示されるべきドメイン名までのURLの一部を偽装可能であり、フィッシング詐欺に援用可能であること
• CVE-2005-0500で悪用された長すぎるホストネームを使用しないので罠ページの設置が簡単であること。
• CVE-2005-0500では罠ページが存在するクラッカー設置のサーバーのホストネーム準備によりドメインを偽装するのだが、これによりポップアップされたサブウィンドウの横幅に強力な制限がかかり実際の悪用には難しいこと
• 一方、今回報告するごくごく簡単な手法では、ホストネームを種に使わないのでポップアップされたサブウィンドウの横幅を自由に出来、悪用の幅が広がること
• 以上を示す作成済みの実証コードページの提示
• 未修正であるCVE-2005-0500に対するユーザ側自衛策として提起されているところの、ポップアップされたサブウィンドウにおいては秘密情報を入力あるいはポストしてはいけないという対策では不充分なこと
• 別途報告済みである、タイトルバー以外の全てのバーを偽装可能な脆弱性と本脆弱性とを併用することにより、サブウィンドウではなく、ウィンドウの全ての要素を偽装可能であるという事実の提示、リンクをクリックして表示されたコンテンツ(実はサブウィンドウがサブでないように見せかけることが出来る手法も併せて提示)でもってオンライン詐欺が可能であるという指摘

…こんなものかなぁ…(嘆

ユーザ側の自衛策

• 従来提起されている手動でポップアップしたウィンドウにおいて秘密情報を入力するなという対策では不充分であることの確認
• IEの設定によってアクティブスクリプトの禁止、ActiveXコントロールを禁止するとなおよい。
• 代替ブラウザの使用
• IE7を使用すれば大丈夫であること。IE6において脆弱性が解決される見通しが立たないこと。20050221にアサインされたCVE-2005-0500ですら未だに修正されていないことからも…

…こんなものかなぁ…(嘆

20061110追記

その後の顛末が以下にあります。

• ■IE6 on WindowsXPsp2 で、スクリプトでポップアップされたアドレスバーのないwindowのタイトルバーのURL表示を信用してはいけない

追記終わり