IE6～10にマウスカーソルの位置を追跡される脆弱性、パスワードなど盗まれる恐れ

By Paul.White

Internet Explorer 6から10までのバージョンに、マウスカーソルの位置を追跡される脆弱性があることが明らかになりました。一度この追跡が始まると、IEのウインドウを最小化しても追跡は続くとのことで、バーチャルキーボードやキーパッドを使って情報を入力するようなサービスを利用する場合、パスワードやクレジットカード情報が盗まれる恐れがあります。

spider.io — Internet Explorer Data Leakage
http://spider.io/blog/2012/12/internet-explorer-data-leakage/

具体的にどのようなことが行われているのかというのは以下のムービーを見るとわかります。

IE Cursor Exploit Demo - YouTube
https://www.youtube.com/watch?v=qxUa2VWnE8A


左側がキーパッド、右側はマウスカーソルの移動をトレースしたデータ。

電話番号を1つ1つ押していくと、その動きがトレースされ、何番を押しているのかが筒抜けに。

最後に通話キーを押すと、電話番号の入力が終わったことがわかります。この事例は電話番号の場合ですが、同じように、パスワードやクレジットカード情報を入力した場合も筒抜けになるということ。

下記リンク先はデモページ。FirefoxやChromeでアクセスしても何事もありませんが、Internet Explorerでアクセスすると、自分のデスクトップとほぼ同様の動きがサイト上で再現されます。

Challenge - spider.io
http://iedataleak.spider.io/demo

この脆弱性はMicrosoftのセキュリティリサーチセンターでも認識しているものの、早急に対策する予定はないとのこと。

しかし、悪意ある攻撃者がウェブサイト上の広告スペースを購入してコードを仕込むだけでカーソルの追跡が可能で、たとえIEを最小化したとしてもディスプレイ全面にわたって追跡可能というのはかなり不用心。ユーザーからすると、当面はできるだけIEを利用しないようにするしかないようです。

2012/12/14 14:35追記

Microsoft responds to IE mouse tracking exploit claims
http://www.neowin.net/news/microsoft-responds-to-ie-mouse-tracking-exploit-claims

MicrosoftがSpider.ioの指摘に反応を見せました。スポークスマンによると「現在この問題を調査中ですが、活発な活動や悪影響があったという顧客からの報告は見られません。追加情報が提供可能になれば、適時発表し、顧客を保護するための措置を講じていきます」とのことで、この脆弱性は世間に広まっているものではないという認識を示しました。