12月11日に書いたInternet Explorerの欠陥について、いくつかの動きが出ています。

• 成りすました Web サイトか見分ける手順について（Microsoft）
• 成りすましたウェブサイトに騙されない方法について（Microsoft）
• MS、IEのURLを偽装できる脆弱性の回避策を公開、ただしパッチは未提供（INTERNET Watch）
• IE脆弱性を悪用するアドレス詐称サイトに注意！（INTERNET Watch）

• IEにURLを偽装できるパッチ未公開の脆弱性が発見される（セキュリティホール memo）（再掲）
• SSL man in tne middle(MITM) demo（Hideki Sakamoto 雑記）

一言で言うと、IE6のアドレスバー、ステータスバーなどに表示されるURLが正しいものである保証は全くありません。それはオンラインショップなどでパスワードを入力するページであっても同じです。つまり、偽のページを見せられても、見破れない可能性が高いということです。これについては上のリンク中の最後のページの説明を読むとわかりやすいと思います。

対策としては次のようなものが考えられます。

• 暗号化されたページの場合、鍵のマークをダブルクリックして確かめる。
• リンクをクリックせずに、常にURLを直接入力する。
• IE6を使わない。

どれも大変そうです。MozillaやOperaなど他のブラウザを真剣に検討することも必要と言えそうです。