- IEのフレーム内にほかのサイトを表示できるスプーフィング脆弱性
- 窓の杜 - 【NEWS】IEの“フレーム詐称問題”はセキュリティ設定で回避可能
- Secunia - Advisories - Internet Explorer Frame Injection Vulnerability
フレームの中に別のサイトのページが表示されてしまう脆弱性とやらは、IE の場合、セキュリティ設定を変更することで回避が可能になる、とのこと。例えばIE6 の場合、メニューの[ツール]-[インターネット オプション]-[セキュリティ]タブ で、[インターネット] を選択した後、[レベルのカスタマイズ] ボタンをクリック、下のほうにある[異なるドメイン間のサブフレームの移動] を[無効] にして[OK] を押せばこの脆弱性の影響を受けなくなります。
この設定変更後、「Secunia - Multiple Browsers Frame Injection Vulnerability Test」 でテストしたところ、フレーム内に別のページが表示されることはなくなりました。
この脆弱性の何が怖いかというと、例えば以下のようなシナリオが考えられます。銀行のサイトにアクセスし、アドレス欄にはその銀行のアドレスが表示されているのに、フレームの中のページはまったく関係のない、悪意あるサイトのページにすり替えられていて、それに気づかず、オンラインバンキングのためにログインしたつもりが悪意ある第3者の手元に自分の大切なユーザID とパスワードを送ってしまっていた、ということが技術的に起こりうる点にあります。無論このような行為は不正アクセス行為の禁止等に関する法律 によって処罰の対象となります。
フレームを使用したページは色々とややこしい問題を引き起こすので、使用する際には、できれば使用しない可能性も含めて、よくよく検討したほうがよいです。ところで、フレーム内ページといえば思い出されるのが米トータルニュース社 が自社のサイトでフレーム内に他のニュースサイトのページを表示していたことで訴えられた件(詳しくは「コピライトQ&A(著作権相談から)」 などをお読みください)。これ以降、フレーム内に他のサイトのページを表示させるのは「きわめて黒っぽい行為」ということになっていますのでご注意を。
そうでなくても、今表示しているページとURL が一意にならない(ブックマークしていてもそのページに再度たどり着けない) とかあるし…、とか、昔々に散々論争しあった挙句、相手のヒトに全く理解していただけなかった苦い記憶が思い起こされます。