Web解析企業の Spider.io が Internet Explorer には Web広告を利用してマウスカーソルの動きを追跡できてしまう脆弱性があると主張している。
Spider.io は、IE のバージョン6から10において、ページがバックグラウンドのタブで開かれている場合や、ブラウザのウィンドウが非アクティブまたは最小化されている状態でも、攻撃者にスクリーン上のマウスカーソルの追跡を許してしまう JavaScript のセキュリティホールがあると報告している。

つまりタブレットPCユーザーなど、仮想キーボードを使用するすべてのユーザーに、パスワードやクレジットカード情報が盗まれるといったセキュリティ上のリスクが存在することになる。

マイクロソフトは、この問題について現在調査中であり、この挙動を変更する可能性があると述べた上で、この問題が IE のみで起こるという点と、現在2社の広告分析会社がこの脆弱性を悪用しているという主張については、Spider.io に対し異議を唱えている。

マイクロソフトは、同様の仕様は他社のブラウザにもあるほか、Spider.io 自身も広告分析会社であるため、競合する2社に打撃を与えたいという裏の動機があるのではないかとの認識を示した。

マイクロソフトのこの反応について、Spider.io 側のコメントは現在照会中。反応があれば追ってお伝えする。

攻撃者はユーザーのマウスの動きを把握できるだけでユーザーの画面は見えないため、この脆弱性を悪用できるのは攻撃対象のPCがどのコンテンツを利用しているかなど詳細がわかる場合のみのようだ。今のところ、あまり過剰な警戒は必要ないだろう。

(原文:Jon Fingas 翻訳:日本映像翻訳アカデミー)