2018年03月22日 05時00分 公開
特集/連載

アドレスバーの情報が常に取得されるIEで新たに見つかった“情報流出バグ” Edgeに切り替えるなら今か?

Microsoftのインターネットエクスプローラ(IE)のアップデートにバグがあり、ユーザーがIEブラウザのアドレスバーに入力した情報が攻撃者に露見してしまうことが分かった。

[Nick Lewis,TechTarget]
画像 IEからEdgeへ切り替えるのが正解?

 Microsoftの最新のアップデートに存在する、IEの深刻なバグが発見された。セキュリティ研究家のマヌエル・カバレロ氏が発見したこのバグを悪用すればIEのアドレスバーに入力した全ての情報を、攻撃者が閲覧できる。このIEのバグはどれほど深刻なのだろうか?

 MicrosoftはIEを新しい「Microsoft Edge」ブラウザに置き換える予定だ。これは同社の戦略だが、顧客のWebブラウザのセキュリティを向上させるためでもある。だが、Windows 10にIEがインストールされていることも考慮に入れると、このブラウザが完全にお役御免となるまでには長い時間がかかるだろう。大抵の場合、ユーザーが新しいソフトウェアをインストールするのは、新しいシステムを導入する場合だけだからだ。

 既存システムのサポートをいつまで実施するかは、Microsoftやその他のソフトウェアベンダーにとって継続的な課題の1つである。そんな中で発見されたのが冒頭のバグだ。IEのアップデートにバグがあり、そのバグによって悪意あるWebページはIEのアドレスバーに入力したテキストを読める、つまり一種のURLトラッキングが可能となっていた。この思いがけない不具合の原因は、IEのアドレスバー内のテキストがlocation.hrefのようなHTTP環境変数として保存されるためだ。location.hrefは、現在表示されているWebページの情報を持つlocationオブジェクトのプロパティで、URLの取得と設定ができる。悪意あるWebページはLocation.hrefに保存されているデータをいつでも参照、保存、利用できる。

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news080.jpg

ソネット・メディア・ネットワークス、実店舗事業者に向け「Marketing Touch(β版)」を提供開始
ソネット・メディア・ネットワークスは、実店舗事業者に向けたマーケティングプラットフ...

news025.jpg

2018年の還暦人(かんれきびと)の価値観、赤いちゃんちゃんこは7割が「遠慮したい」――PGF生命調べ
人生100年時代に還暦(満60歳)を迎える人々の価値観とはどのようなものでしょうか。

news122.jpg

ブロックチェーン技術をマーケティングキャンペーンに活用――キャセイパシフィックグループとアクセンチュア
キャセイパシフィックグループは、アクセンチュアと協力してブロックチェーン技術を活用...