窓の杜Logo
NEWS (04/07/05 21:10)

IEの“フレーム詐称問題”はセキュリティ設定で回避可能

Webブラウザーの脆弱性ではなく、W3Cが定義するHTMLの仕様が問題

 デンマークのセキュリティベンダー・Secuniaを始め、各種ニュース記事でも話題になっている、Webブラウザーの“フレーム詐称問題”。HTMLタグの一種である“フレーム”を利用して、Webブラウザーのアドレスバーに記述されたサイトとは別ドメインのWebページを表示できてしまうというものだ。

 Secuniaはこれまで、“信頼できるサイト以外は閲覧しない”といったことを回避策として提案していたが、同社は2日、IE v5.01/5.5/6.0では設定を変更することで本件を回避可能なことを公表した。

 IE v5.01/5.5/6.0で、別ドメインのページを表示できなくするには、[ツール]−[インターネット オプション]−[セキュリティ]で、別ドメインのページを閲覧不可としたいゾーン(多くは“インターネット”)を選択する。ダイアログ内の[レベルのカスタマイズ]ボタンを押し、下の方にある項目“異なるドメイン間のサブフレームの移動”で、“無効にする”をチェックすればよい。なおこの項目は、セキュリティパッチ等を一度もあてたことのないIE v5.01/5.5/6.0でも設定可能。

 またこの公表を受け、窓の杜編集部では同問題が発生するといわれているWebブラウザーを調査し、設定項目の変更でこの問題を回避可能かどうかを検証した。下記がその検証結果となっている。

“フレーム詐称問題”を編集部にて検証した実験結果
ソフト名 バージョン 公開日 デフォルト 設定項目 設定後
Internet Explorer 6.0 SP1 (02/09/19) ×
Sleipnir v1.61 (04/06/26) ×(IEに依存) ○(IEに依存) ○(IEに依存)
Opera v7.23 日本語版 (04/02/04) × × -
Opera v6.05 日本語版 (02/08/21) × × -
Netscape v7.1 日本語版 (03/06/30) × × -
Netscape v4.78 日本語版 (01/08/07) × × -
Mozilla v1.7 (04/06/17) × -
Mozilla Firefox v0.9.1 (04/06/29) × -

※検証に使用したサンプル
□Secunia - Multiple Browsers Frame Injection Vulnerability Test
http://secunia.com/multiple_browsers_frame_injection_vulnerability_test/

※凡例  
  異なるドメインのフレームを表示しない
  × 異なるドメインのフレームを表示してしまう
  - 設定項目がないため検証不可

 結果を見ると、フレームを利用して別ドメインページを表示できると公表されていたWebブラウザーのなかで、設定変更によって回避可能なWebブラウザーは、IE v6.0 SP1のみ。他のWebブラウザーは、設定を変更せずに回避できていたものと、設定項目が存在せず回避不可能なものしかない。

 そもそもフレームという技術は、Webで利用される技術開発とその標準化をとりまとめる国際団体“World Wide Web Consortium(以下、W3C)”が定義したHTMLの仕様書の最新版「HTML 4.01仕様書(HTML 4.01 Specification)」にも掲載された、複数HTMLファイルをひとつのWebブラウザーウィンドウに表示する技術。

 この技術のなかで今回問題となるのは、すでにフレームで分割表示されているウィンドウのうちの1区画のみを、単なるリンククリックだけで別サイトのページに書き換えることができてしまうという、フレームの仕様である。

 しかし各種Webブラウザーは、当然のことながらW3Cの仕様をもとにHTMLの表示エンジンが作成されている。こうして考えると、本件はWebブラウザーの脆弱性というより、HTMLの仕様自体に問題があると言える。

 とはいえ問題解決への近道はやはり、Webブラウザー作者がフレームを利用して別ドメインのページを表示できなくしてしまうのが一番だ。ユーザーがその都度、表示・非表示を選択できるのもいいだろう。W3Cが決めているのはHTMLタグに関する仕様のみであり、それがユーザーに採用されるかは有名Webブラウザーで表示できるかにかかっているのが現状。W3Cよりも有名Webブラウザーのほうが、即効性も実効性も高いのは明らかである。


□Secunia - Advisories - Internet Explorer Frame Injection Vulnerability
http://secunia.com/advisories/11966/
□HTML 4.01 Specification(W3Cが定義したHTMLの仕様書)
http://www.w3.org/TR/html401/

(岩崎 綾)


お詫びと訂正: 記事初出時に「Netscape」v4.78 日本語版の公開日に誤りがありました。お詫びして訂正いたします。

トップページへ

Copyright (c) 2004 Impress Corporation All rights reserved.
編集部への連絡は お問い合わせはこちらをクリック まで