2019年12月28日 08時30分 公開
特集/連載

2016年から存在「Firefox」が操作不能になる脆弱性 ダイアログが“無限”に出現

「Firefox」を操作できなくなる脆弱性が、2019年11月に報告された。この脆弱性は過去に修正が試みられたにもかかわらず、これを悪用した攻撃が引き続き発生しているという。それはなぜなのか。

[Michael Heller,TechTarget]

 Webブラウザ「Firefox」に脆弱(ぜいじゃく)性が見つかった。攻撃者がこの脆弱性を悪用すると、Firefoxの認証ダイアログを無限に表示させることができる。実際の悪用例も観測されているという。この脆弱性が発見されたのは最近のことだが、少なくとも2016年から同様の脆弱性が存在していたことが明らかになった。

 この脆弱性を悪用した攻撃は、ユーザーに悪質なWebサイトを訪問させて警告を出し、「Authentication Require」(認証が必要)の文言を記したダイアログを表示する。ユーザーはそのダイアログを閉じることも、「キャンセル」ボタンを押すこともできず、新しいダイアログが無限に増殖し続けて、実質的にユーザーが利用中のFirefoxから締め出されてしまう。

 この脆弱性を発見したのは、セキュリティ企業Malwarebytesで脅威インテリジェンス担当責任者を務めるジェローム・セグラ氏だ。「これは人の心理的な隙を突く『ソーシャルエンジニアリング』攻撃につながる可能性がある」とセグラ氏は説明する。Webブラウザをロックする攻撃は一般的に、PCにダメージを与えるためではなく、ユーザーを脅すためのソーシャルエンジニアリングの手口として利用される。

 「Windows」「macOS」「Linux」向けのバージョン「Firefox 70」が、この脆弱性の影響を受ける。セグラ氏は実際に、この脆弱性が悪用されていたとも指摘する。

同種の脆弱性は2016年から存在 なぜ放置されていたのか

ITmedia マーケティング新着記事

news127.jpg

新型コロナウイルス感染拡大で飲食業経営者の6割が「このままでは事業継続困難」と回答――ショーケース調査
首都圏を中心とした飲食業界経営者に対して2020年3月26〜30日に実施した緊急アンケート調...

news111.jpg

マーケターの5割が自分の仕事の自動化に不安――ベーシック調査
マーケターのキャリアに関する調査結果です。

news150.jpg

SNSマーケティング予算は前年比で増加傾向、注力するのは「Instagram」と「Twitter」――ガイアックス調査
ガイアックスの運営するSNSマーケティングメディア「ソーシャルメディアラボ」が150社を...