- ITmedia エンタープライズ:IE6+SP2のポップアップウィンドウ表示にURL偽装の問題
http://www.itmedia.co.jp/enterprise/articles/0502/22/news103.html - XP SP2のIEにポップアップの「タイトル・バー」を偽装される弱点 : IT Pro ニュース
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050222/156504/ - hoshikuzu | star_dust の書斎
http://d.hatena.ne.jp/hoshikuzu/20050223 - Secunia - Advisories - Microsoft Internet Explorer Popup Title Bar Spoofing Weakness
http://secunia.com/advisories/14335/ - Neohapsis Archives - Full Disclosure List - #0441 - [Full-Disclosure] WindowsXPSP2 script-initiated popup window titlebar spoofing
http://archives.neohapsis.com/archives/fulldisclosure/2005-02/0441.html
WindowsXP SP2 上のIE6 はポップアップブロック機能では、アドレスバーを非表示にしたポップアップの場合には、タイトルバーにそのURL を強制的に表示するようになっていて、今回はこれを逆手に取る形で偽装が出来ますよ、ということみたいです。ITPro の記事にある画像が分かりやすいです。指定サイズでウィンドウを開く、とかが無効になるタブブラウザならばリスクは低いような気もします。
対策は、普段から十分に気をつけましょう。ということみたい。
銀行のオンラインバンキングとか、お金とかプライバシーとかにかかわるサイトにアクセスする場合は、アドレスバー(ってテレビ的には使えない言葉らしい) に直接そのサイトのURL を打ち込むのがおそらく一番安全です。
長いURL を打ち込むのが面倒な場合、URL を書いたテキストファイルをメモ帳とかで開いておいて、アクセスするたびにアドレスバーへコピペする、とか。これも知らないうちに書き換えられてたりする可能性もあるけど(でも、もし本当に書き換えられるような環境だとすると、もうかなり手遅れ…)、メールに書いているURL へジャンプするよりは安全か。お気に入りに登録しておいて必ずそこからアクセスする、も同レベルで有効っぽい。
そういうテキストも作るのが面倒ならば、Google 検索の結果のリンクからジャンプする。でも、ついうっかりなんらかのミスとかが重なってフィッシング詐欺のサイトがトップに来る可能性もゼロではないし、自分と関係のない第三者のページを信頼する時点でもうダメっぽい感じ。リスク高し。
リンクにマウスカーソルを持っていくとブラウザウィンドウの下にリンク先のURL らしきものが表示されますが、これはJavaScript でさっくり偽装できますし、紛らわしい文字が使われていたら判別不能なので、そういう場合はリンクを右クリックしてメニューから「ショートカットのコピー」(IE の場合) を選択、メモ帳などに貼り付けして目視で検証するのが手間はかかりますがより安全となります。
(2005/02/23 22:11 追記)
ちょっと手元で試してみたのでスクリーンショットを上げてみる。画像をクリックすると大きなサイズで表示します。
デフォルトだと、ポップアップブロック機能で遮断される。
許可してみる。
すると…正しいサイトの上にポップアップで作られたウィンドウが表示される。アドレスバーがないので、替わりにタイトルバーにURL が表示されてます(で、偽装されてる、と)。
(2005/02/25 19:29 追記)
えーと、再現の方法間違えてました。上記SS では、アドレスバーを見て分かるとおり、ローカルのファイルを読み込んでいるため、[マイコンピュータ] ゾーンになるのでポップアップブロックが働いていました。
[インターネット] ゾーンのファイルを実行するとなんの注意も出ずに出るので、更に注意です。ちゃんとステータスバーまで表示させる形で撮り直したSS に差し替えと、[インターネット] ゾーンで実行した場合の結果のSS を併せてアップします。
確認不足でいい加減なことを書いて申し訳ないです。ここにお詫びして訂正。
この方法への対策としては、タイトルバーにマウスカーソルを持って行くことで、確認できそうですね。