昨年2006年11月において結論

下記のようなメールを頂戴したので、脆弱性ではないとの結論に私も同意し、取り扱いの終了ということになりました。IE7は安全ですけれど、IE6においては一部環境で対策を採った方が良いかもしれません。

hoshikuzu | star_dust 様

IPAセキュリティセンターです。

Microsoft Internet explorer の件につきまして、ご相談させていただきたい点があります。

本件につきまして、製品開発者へ届出情報を連絡した結果、製品開発者より下記の通り、脆弱性ではないとの回答を頂いております。

製品開発者が脆弱性ではないと判断しましたので、取り扱いを終了させて頂こうと考えておりますが、如何でしょうか。

取り扱いに問題がありましたら、お手数ですが、10 営業日を目処にご連絡をお願いします。

■製品開発者からの回答

【1】届出内容に関して
ご報告いただきました内容ですが、既に別の案件で報告がされていた事象に該当しておりました。

本事象は XP SP2 で搭載された機能のひとつを回避することができますが、セキュリティ上の脆弱性とは判断されず、IE のデザイン上の問題として、時期(註：原文ママ)製品である IE 7 で修正対象とされた内容になります。

IE 7 では、「Web サイトがアドレスバーやステータスバーのないウィンドウを開くのを許可する」オプションが追加され、無効である場合には、タイトルバーではなく参照用のアドレスバーに URL が表示されるデザインに変更され
ております。

また、インターネットゾーンでのこのオプションのデフォルト値は無効になっており、フィッシングでの悪用の対策になるものと考えております。

【2】IE6 に関しての対応の有無に関して

本件につきましては、IE 7 で対応する問題として考えており、現時点で、IE 6 および次期サービスパックでの対応等に関しては未定になっております。

以上、よろしくお願いいたします。

脆弱性情報に関する連絡を行う際には、PGP公開鍵による暗号化をお願いいたします。
https://www.ipa.go.jp/security/pgp/index.html

独立行政法人 情報処理推進機構 (IPA) セキュリティセンター

本現象の出典について

2004年7月に、スラッシュドットジャパンにおいてjbeef氏によって紹介されたリンク先のサイトに未修正の脆弱性として発表されていたPoCが出典です。　現在そのサイトは閉鎖されています。その後、あれはどうなったかなぁと私なりに調べなおし、PoCを再構成した上でXPにおいても成立しうることを確認し、この現象について疑義をもったため、私からもIPAに念のために報告した次第です。

PoCについて

PoCのアドレスは以下となります。IE6にて単一のウインドウだけにして試験してください。一部環境では発動しませんがご容赦ください。

http://stardust.s2.xrea.com/hatena/200601/spoof1.html

2006年1月作成の本PoCでは出典のオリジナルの98版PoCとはとは異なりXP上においても特定のIE6で現象が発現します。発現しないケースについて詳細は不明です。なお、本PoCでは、ActiveXを発動させるためにクリックなどの操作を要していますが、これはMicroSoft社の公知により回避可能なテクニックが別途存在しており、通常のサイトでも利用されています。

本質的には、部分的に透明なウィンドウを作成し、その下にFAKEしたいウィンドウを置いておく、というものです。像が重なるために見抜きにくくなっています。従いましてこの現象ではアドレスバーのみならず任意のユーザによってカストマイズされたすべてのバー配置を自動的に偽装可能なことにご留意ください。上記PoCでは透明部分対象外であるタイトルバーのfakeをあえてしていませんけれども、すでに公知されているようにtitleバーの任意の偽装が別途可能です。そのためタイトルバーを見ても見抜けない可能性があります。

なお、PoCの作動結果の画像表示など関連記事が本日記にもあります。以下。

http://d.hatena.ne.jp/hoshikuzu/20060130#P20060130BARSFAKE

現象への対策

IE6での対策として、上記拙作の記事にある一般的で広くお勧めできる強力な方法が考えられますし、本現象に直接関わりのあるActiveXにkillbitを立てることで100%現象をおこさずにすみます。私もkillbitを立て続けていますが一度も副作用を経験していません。ActiveXのclsidは以下の通りです。

clsid:1820FED0-473E-11D0-A96C-00C04FD705A2

なお、保険的に各種のポップアップブロッカーが有効かもしれませんが回避する手段もありますので妄信しないでください。特に、ウイルスをばら撒く危険なサイトやフィッシング詐欺を行うサイトなどにおいて 回避できないポップアンダーなウィンドウが in the wild に存在しており、本現象にも応用しうります。

また、法人向けの根本的な対策として、(本現象にかかわらず一般的に)、Microsoft社によるセキュリティ対策が限定されつつあるIE6を、可能ならば使用しないですませられる運用の準備が必要だと思われます。IE7への自動アップグレートが来年2月にも開始されようとしていることですし良い機会であると思われます。