「Firefox」を操作できなくなる脆弱性が、2019年11月に報告された。この脆弱性は過去に修正が試みられたにもかかわらず、これを悪用した攻撃が引き続き発生しているという。それはなぜなのか。
Webブラウザ「Firefox」に脆弱(ぜいじゃく)性が見つかった。攻撃者がこの脆弱性を悪用すると、Firefoxの認証ダイアログを無限に表示させることができる。実際の悪用例も観測されているという。この脆弱性が発見されたのは最近のことだが、少なくとも2016年から同様の脆弱性が存在していたことが明らかになった。
この脆弱性を悪用した攻撃は、ユーザーに悪質なWebサイトを訪問させて警告を出し、「Authentication Require」(認証が必要)の文言を記したダイアログを表示する。ユーザーはそのダイアログを閉じることも、「キャンセル」ボタンを押すこともできず、新しいダイアログが無限に増殖し続けて、実質的にユーザーが利用中のFirefoxから締め出されてしまう。
この脆弱性を発見したのは、セキュリティ企業Malwarebytesで脅威インテリジェンス担当責任者を務めるジェローム・セグラ氏だ。「これは人の心理的な隙を突く『ソーシャルエンジニアリング』攻撃につながる可能性がある」とセグラ氏は説明する。Webブラウザをロックする攻撃は一般的に、PCにダメージを与えるためではなく、ユーザーを脅すためのソーシャルエンジニアリングの手口として利用される。
「Windows」「macOS」「Linux」向けのバージョン「Firefox 70」が、この脆弱性の影響を受ける。セグラ氏は実際に、この脆弱性が悪用されていたとも指摘する。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
生成AIの活用、意外と進んだマーケティング部門と進まない営業部門 どうして差が生じた?
HubSpot Japanが実施した「日本の営業に関する意識・実態調査2025」のポイントを、記者説...
Webサイト改善のゴール(KGI)と戦略(KPI)の決め方
連載第2回目となる今回は、Webサイト改善のためのゴール(KGI)と戦略(KPI)の設定方法...
メルマガをきっかけにした商品購入、B2B商材ではどれくらいの人が経験?
ラクスが「メルマガに関する調査レポート」を公表した。メルマガ経由のサービス購入や資...