ウェブサイトのなりすましにご注意
12月11日に書いたInternet Explorerの欠陥について、いくつかの動きが出ています。
- 成りすました Web サイトか見分ける手順について(Microsoft)
- 成りすましたウェブサイトに騙されない方法について(Microsoft)
- MS、IEのURLを偽装できる脆弱性の回避策を公開、ただしパッチは未提供(INTERNET Watch)
- IE脆弱性を悪用するアドレス詐称サイトに注意!(INTERNET Watch)
- IEにURLを偽装できるパッチ未公開の脆弱性が発見される(セキュリティホール memo)(再掲)
- SSL man in tne middle(MITM) demo(Hideki Sakamoto 雑記)
一言で言うと、IE6のアドレスバー、ステータスバーなどに表示されるURLが正しいものである保証は全くありません。それはオンラインショップなどでパスワードを入力するページであっても同じです。つまり、偽のページを見せられても、見破れない可能性が高いということです。これについては上のリンク中の最後のページの説明を読むとわかりやすいと思います。
対策としては次のようなものが考えられます。
- 暗号化されたページの場合、鍵のマークをダブルクリックして確かめる。
- リンクをクリックせずに、常にURLを直接入力する。
- IE6を使わない。