Web解析企業の英国Spider.ioは12月12日、米国MicrosoftのInternet Explorer（IE）6~10に影響するセキュリティ脆弱性について報告した。この脆弱性が悪用されると、ブラウザ・ウィンドウが最小化されている場合も含めて、マウス・カーソルの動きが監視される恐れがあるとしている。

　このことは、パスワードやPIN（暗証番号）が画面上の仮想キーボードでタイプされると、キャプチャされる危険があることを意味すると、Spider.ioは述べている。同社は名指しはしていないが、すでに2つのディスプレイ広告ネットワークがこの脆弱性を悪用しているという。

　「この脆弱性を悪用する広告を表示しているページが開かれている限り、そのページがバックグラウンドのタブで開かれていても、また、Internet Explorerが最小化されていても、マウス・カーソルが画面全体にわたって追跡されてしまう
」（Spider.io）

　Spider.ioは、この脆弱性を10月1日にMicrosoftに通報した。Microsoft Security Research Centerはこの脆弱性の存在を認めているが、パッチを提供する計画は当面ないとしていると、Spider.ioは述べている。

　この脆弱性はIEのグローバルなEventオブジェクトに関連しており、Spider.ioは、この脆弱性を突くエクスプロイトの技術的詳細も解説している。また、この脆弱性を悪用して仮想キーボードによるユーザー入力を監視する方法を紹介するゲームも公開している。

　「Internet Explorerのイベント・モデルは、マウス・イベントに関連する属性を持つグローバルなEventオブジェクトを生成する。生成すべきでない状況においてもだ。これに加えて、fireEvent()メソッドを使ってイベントを手動でトリガできることから、任意のWebページ（または任意のWebページ内の任意のインラインフレーム）内のJavaScriptが、マウス・カーソルの画面上の位置をいつでも問い合わせて調べることが可能だ」（Spider.io）

（Jon Gold／Network World米国版）

追記：赤字の部分が既出と違う今回の脆弱性の問題中心です。

人気ブログランキングへ