Mozilla Foundation セキュリティアドバイザリ 2005-14
- タイトル
- SSL を示す「安全なサイト」表示の偽装
- 重要度
- 中
- 危険度
- 中
- 報告者
- Mook
- Doug Turner
- Kohei Yoshino
- M. Deaudelin
- 影響を受ける製品
- Firefox
- Mozilla Suite
- 修正済みのバージョン
- Firefox 1.0.1
- Mozilla Suite 1.7.6
概要
安全なサイトを示す鍵アイコンや、別のサイトにある証明書の詳細を表示させてしまう様々な仕組みが報告されました。これらは、実際の URL を示すロケーションバーが隠されたウィンドウでは特に、フィッシング詐欺を仕掛ける攻撃者が自分たちの偽装サイトをより本物らしく見せかけるために利用される可能性があります。
安全なサイトを表示しているウィンドウで、読み込みが終わらない偽装サイトを開くと、元のサイトのセキュリティ状態が表示されたままになるということが Mook 氏によって報告されました。また、document.write() を使って、安全なサイトを表示しているウィンドウ内に偽装コンテンツを生成した場合にも同様の結果になることが Kohei Yoshino 氏によって報告されました。
SSL をサポートしている非 HTTP サーバ (例えばメールサーバ) からコンテンツを読み込むことによって、現在開かれているウィンドウ内のコンテンツに対して偽のセキュリティ状態を表示できることが、Doug Turner 氏によって実証されました。SSL の表示は、要求されたコンテンツの読み込みが失敗したことに関係なく、成功した SSL ハンドシェイクに基づいて設定されていました。
同じように、HTTP 204 エラーを返す URL を利用して、元のコンテンツ (おそらく偽装サイト) がまだ表示されている間に、SSL アイコンを表示させつつ URL を更新することが可能ということが、M. Deaudelin 氏によって実証されました。
回避策
- 信頼できないサイトと同じセッションで信頼できるサイトを訪れないでください。
- 信頼できないサイト上に、機密情報を扱う金融機関などのサイトへ誘導するリンクがあった場合、それらを使ったり信頼しないでください。
参考資料
- https://bugzilla.mozilla.org/show_bug.cgi?id=258048
- https://bugzilla.mozilla.org/show_bug.cgi?id=268483
- https://bugzilla.mozilla.org/show_bug.cgi?id=277564
- https://bugzilla.mozilla.org/show_bug.cgi?id=276720