【OS】IE6〜10にマウスカーソルの位置を追跡される脆弱性　パスワード盗まれる恐れも

.
Internet Explorer 6から10までのバージョンに、マウスカーソルの位置を追跡される
脆弱性があることが明らかになりました。一度この追跡が始まると、IEのウインドウを
最小化しても追跡は続くとのことで、バーチャルキーボードやキーパッドを使って
情報を入力するようなサービスを利用する場合、パスワードやクレジットカード情報が盗まれる恐れがあります。

具体的にどのようなことが行われているのかというのは以下のムービーを見るとわかります。

IE Cursor Exploit Demo - YouTube
http://www.youtube.com/watch?v=qxUa2VWnE8A

左側がキーパッド、右側はマウスカーソルの移動をトレースしたデータ。
http://gigazine.jp/img/2012/12/14/ie-data-leakage/01_m.png
電話番号を1つ1つ押していくと、その動きがトレースされ、何番を押しているのかが筒抜けに。
http://gigazine.jp/img/2012/12/14/ie-data-leakage/02_m.png

最後に通話キーを押すと、電話番号の入力が終わったことがわかります。
この事例は電話番号の場合ですが、同じように、パスワードやクレジットカード情報を入力した場合も筒抜けになるということ。

この脆弱性はMicrosoftのセキュリティリサーチセンターでも認識しているものの、早急に対策する予定はないとのこと。

しかし、悪意ある攻撃者がウェブサイト上の広告スペースを購入してコードを仕込むだけで
カーソルの追跡が可能で、たとえIEを最小化したとしてもディスプレイ全面にわたって
追跡可能というのはかなり不用心。ユーザーからすると、当面はできるだけIEを利用しないようにするしかないようです。

http://gigazine.net/news/20121214-ie-data-leakage/

人生初の２げっと！！！

ガラケー最強まで読んだ

　　　 　　冫─'　 ~　￣´^-、
　　　　／　　　　　　　　　　丶
　　　/　　　　　　　　　　　　　ﾉ、
　　/　　／ヽ丿彡彡彡彡彡ヽヽ
　　|　　丿　　 　　　　　　　　　 ミ
　　|　彡　＿＿__　　＿＿__ 　ﾐ/
　　ゝ_/／|　　　 |⌒|　　　 |ヽゞ
　　|tゝ　　＼__／ 　 ＼__／　| |
　　ヽﾉ　　　　／＼_／＼　　 |ﾉ
　　　（　　　　 （＿人＿） 　 )
　　　ヘ＼　 　 ＼　　　| _ 丿
　／　　 ＼ヽ ＿　＼＿| |
/⌒ヽ. 　 　＼___／＼i／＼_
|　　　ヽ　　　　　　　＼o
|　　　　| 　 　 　　　　　＼o

.　　─┐||┌─┐　l　─　 ‐┼‐ 　‐┼‐ヽ　l　 ノ　│　.|　 |　　　‐┼‐　‐┼‐
　　　　　　　 日　 フ　口　　メ　　　__|__　　フ　|┬　　　|　 |　　　‐┼‐　　d
　 （＿_　　　.六　 ↑ .田　 （___　　（丿　）　↑.ﾉ│　　ノ　 ヽ__ノ （丿＼　ノ

釣られた

つまりあれをグリグリしてるがバレちゃう><

この手の番号を入力させるようなUIは
番号の位置をランダムに入れ替えるのがjk

対策して無けりゃただのバカ。

タッチパッド時代の新しいキーロガーですな。
感心するなぁ、作る奴もあっぱれだわ。

> Microsoftでも認識しているものの、
> 早急に対策する予定はないとのこと。

完全に＼(^o^)／ｵﾜﾀ…

銀行とかのソフトキーボードは数字がランダム表示されてるだろ

内緒で妻のパソコンでインターネットして
ヌードとかＨな写真を見まくっていたのですが、なんと
なにかの表紙に見ていたエロ画像がパソコンの後ろに
表示されたままになって元に戻せません！
前はプーさんの画像だったのに、今はアソコにバイブを挿した女の画像です・・・。
再起動しても表示されたままなんです。
早く直さないと妻が帰ってきてしまいます！
至急です、皆さん助けてください！！！
ＯＳはnetscape navigator10.0です。
よろしくお願いします

ミッキーのﾊﾞｶﾝ(´･ω･｀)

てか未だにIE使ってるのって相当の情弱か脳病のやつだけだろ・・・・

って、未だにIE ユーザーっているの？

広告無効化はユーザーの権利…って口実にならんかな

ウチ担当の某ホームページ、
GAで見るとアクセスの75%がクロム、FF、Safariで
IEは8%。

IE内の内訳は、10が7割、9が2割、8が1割だった。


もう、ホントにIE8以下は切り捨てて良いんだな

MS「マウスはもう古い。これからはタッチの時代」

IEって何だよ？

マウスとパスワード？
キーボードで入力してても駄目なの？
さっぱり理解出来ない

:　　　　／ヾ　　　;;　::≡=-
　　　／:::ヾ 　　　　　　　 　＼
　　　|::::::|　　洗脳ウィルス　 |
　　 ヽ;;;;;|　　 -==≡ミ　　≡=-|ﾐ
　　／ヽ ──|　　● |￣|　● ||
　 ヽ　< 　　　 ＼＿／　　ヽ＿/|
　　ヽ|　　　　　　 ／( 　　 )＼　ヽ＜んも〜
　　　| （　　　　　　　　｀ ´　　|　|　詐欺とかカルトとかダメ　ゼッタイ!!
　　　| 　ヽ　　＼＿／＼/ヽ／　|　　　　とにかく自公に戻せば
　　　ヽ 　ヽ　　　＼ ￣￣／　／ 　　　　　日本は再建される二ダァ!!
　　　　＼　 ＼　　　￣￣　／　　　　　　　　ぴまいら〜騙されたと思って
　　　　 　　　　ゝ ── '　　　　　　　　　　　公明に一票いれろセヨ　　
　　　　 　/ 　＼＼ i ／／　ヽ 　　　　　　　　　ウェーハッハッ!!
　　　　　|　　 　 ＼＼／ 　 　 |
　 　　　 |　 ｲ ／／＼＼　.ﾄ 　|
　 　　　 |　|／／　| 　＼ヽl.| 　|
　　　　　ヽ| ﾚ'　　　　　　ﾄ、|　|　　ﾄﾝﾄﾝ
＿＿＿＿|/　∴ Ｙ∴　　ヽ |/　＿＿＿＿＿＿＿
　　　　　　||丶＿人＿_ノ　| |
　　　　　　||　 |　 　 　 | 　| .|
　　　　　　||　.|.__＿＿_|.　|,..i
　 　　　　　|　|.　　 　　|　|
　 　　　　　|　|.　　 　　|　|
　 　　　　　(　⊃ 　　　(　⊃

いえ

初めて聞くＯＳだな。使ってるやついるの？

XWindowの脆弱性じゃなくてIE?
APIのバグか？

>>19
キーボードだと、キーロガーってので打ったキー全部盗まれる可能性がある

老人以外もう誰も使ってないあのブラウザか

>>6
やばいな……。
「こいつは乳首を執拗に責めるのが好き」とか「こいつは＊をいじり倒すタイプ」とか、
どう見てもパスワードより大事な情報だわ……。

ああ、updateのときに使ってるやつだった。
orz

タッチパッド搭載のノートPC使ってる漏れ大勝利！！

よくもまあこんなもの作るよねとある意味感心しちゃうわな。

こんなのが簡単に分析できるんだから
http://userheat.com/

中には悪用を考えるやつもいるだろう

>>18
Internet Explorer

だからタッチパネルで入力するWindows8を買えか

フィレフォックスっていうやつつことる

IE使ってる奴いんのか？

ん？これってIEだけなの？なんで？

opera使いのオレには関係ない話だな(´・ω・｀)

>>7
ところがどっこい国内オンラインバンクのどこかでは
配列入れ替えはあれども何種類かのパターンを使い回しているよな状態で
これ破るの易いだろうなーと思えて使う身としてはハラハラもの

>>10
それはそれで、数字がバラけてて入力に時間がかかるというクレームがあるとのこと
客先から聞いた。

きじゃ…脆弱…あれ？デフォで変換されたわw

IE起動していなければいいのかな

1位、Internet Explorer：54.76%
2位、Firefox：20.44%
3位、Chrome：17.24%
4位、Safari：5.33%
5位、Opera：1.67%

2012年11月のブラウザシェア
http://taisy0.com/2012/12/01/12129.html

>24
怖いんだぬ

ウイルスバスターあっても駄目なの？

バーチャルキーボードとか使ったことないけど怖いからupdateはよ

Mozila使ってる俺に死角は無かった

>>11
その女の人は
「豊丸」って名前だよ

IEでもネトゲのサインインの時ソフトウェアキーボード使ってたら大丈夫なんでしょ？
一応マウスでポチポチするやつだけどさ・・・

firefox使ってる俺に死角はなかった

>>41
Opera人気無いな…

俺情弱なのか？

>>47
アドオンに情報ダダ漏れだけどね
俺も使ってるけど‥

今年もＮＯＲＡＤがサンタ追跡のニュースかとオモタ

まだIE8使ってるのにもう10出てるのか

Chromeなので別の意味で追跡されます

>>23

JavaScriptの内部処理の問題。

マウスのカーソルが動いた時に実行される処理を
タイマーを使って定周期で実行してる。

問題はどんな奴から実行されても現在のマウスの状態を
プログラムに教えてしまうこと。

というか、これ仕様だと思ってたよ・・・

相変わらず最低だな、マイクロソフト

単純にカーソルだけ追跡されても動きだけじゃなにやってるかわからんだろ。
各種モニタリングやロガーとかと併用しないと意味無いんじゃない？

F5キーの代わりに更新ボタンクリックしてたのに！バレバレだ！

>>7
某ゲームメーカーのIDパス入力用のソフトキーボードは配列固定だったりする。

デモンストレーション用ページ
http://iedataleak.spider.io/demo

IEで閲覧すると、見事にマウスカーソルが連動してます・・・

>>1

ウィンドウズ８＆タッチパネルモニター買わせる作戦が露骨過ぎるな

結局は最新のOSにしても、直ぐに脆弱性であ〜たら、こ〜たら。

盗まれて困るもんないし、踏み台冤罪で捕まることもないから、
使い慣れてるXPでいいや。

あぃいーん

火狐でよかった

カーソルに付いて動く遊びページとかあったけどあれ?

>>26
そんな変態ブラウザゲームがあるのかw

苦労務や火狐のほうが情報収集やってそうで怖いけどな。特にグーグル。
ネットバンキングや取引用には検索すらしない専用ＰＣ使うに限るし、
そもそもネットバンキングには大金は入れないに越したことはない。内部犯行やミスもあり得るしな。
閉じた通帳が最強ってこと。

ファイフォクのオレに隙はなかった

>>65
つうことは通帳に入れる金さえ無いおれは最強ってことか
貧乏でよかったわ

>>53
これの対策したら、動かなくなるプログラム出てきそうだね

Mosaicは何位？

>>65
>>67

バカ乙。
今時ネットバンキングなんて使う奴のシェアってそんなないだろが。
常考すれば、クレジットカード被害だろ。
まあ、バーチャルキーボードやディスプレイ上のキーパッド
使う人なんて少ないから被害は知れてるだろうが。

ノーガードで何かあったら逆切れするのが一番効率的

そもそもwindowsを使ってる時点で素人だろ

またJavaScriptか

＞今時ネットバンキングなんて使う奴のシェアってそんなないだろが。
＞常考すれば、クレジットカード被害だろ。

こういう最近のネットバンキング事件（どんどん増加している）も知らないよいような情弱が被害に会うんだよな。
メガバンクでもネット専用銀行でも被害出てるし警告も出してるしログインしてみなよ。

で、クレジットカードなんて上限額を５０万程度にしてれば怖くもないし、
被害届出して支払い拒否すれば問題ないし。

メガバンクでもネット専用銀行でも使用者はどんどん増えてるのだが、
そろそろ機能を限定した専用ＰＣをバージョンアップ可能なソフトと一体にして格安で売り出す段階だろう。
でないと、怖くて大金は入れられんわ。
俺はほとんどのネットバンクは閉じたけどな。

ちゃんと仕事しろMS。

>>74

ネットバンクｗ
だからどれだけのシェアで大騒ぎしてんだよ

バカ乙ｗ

ＩＥ削除してぇ･・・

わざとそういう仕掛けを作ってんだろ
馬鹿じゃないのか

じゃあキーボードで打ったほうがいいの？ｗ

>>77
最近はFireFoxのほうがうっとおしく感じる。
アップデート多すぎんだよ

>>26
クレカの数字の羅列よりも遥かに重要な情報だな・・・
漏洩したら社会的に抹殺され兼ねんぜ

＞わざとそういう仕掛けを作ってんだろ

ってか、汎用ＰＣを使っている以上、永遠に１００％安全な取引は無理だから。
専用端末機を格安で配布しないと無理。それでも内部犯行は防げないけどな。
この前あったろ、下請け社員事件だったか。

>>1
なんで関連動画が捏造スタイルなん？

すぐ直せMS

>>82
>この前あったろ、下請け社員事件だったか。

○藤素子事件....

ネスケ１.0の俺最強

これは何？ウイルス？

ガイアの夜明けだったか
生命保険のサイトで利用者がページのどこを重視しているか
動的につかんで構成を改善してったとかいうのやってたが
そういうのが利用してんじゃないの？

てか、マウスの位置取得出来るのって当たり前だよな。

>>14
印刷や外部と接続させるものは全部IEだよ

クロームは印刷指示が弱くて使い物にならない
むしろ仕事でクローム使ってる奴が使い物にならない

＞てか、マウスの位置取得出来るのって当たり前だよな。

そうだよな。
ソフトウェアキーボードにしたって、盗まれるのは当たり前だしな。
銀行・証券などの金融各社は統一規格で用途を限定した専用端末を作るべき段階ってこと。
クレジットカードは上限額があるからそれほど強固にしなくてもいいだろう。

もうIEはwindowsupdate以外で使ってないからどうでもええわ

でもさ、マウスの現在位置分からないと、プログラムアクション起こせないじゃないか

ヴァーチャルキーボードの位置も分かっちゃうのかな？
どうしよう、もうＩＥでネットバンキングしない方がいいのかな？
ってか、一度このウイルス（？）に感染したら、除去できずにずっとマウス追跡され続けちゃうの？

>>93
それは基本ＯＳの仕事。
プログラムから割り込んで取得する事もできるけど。

こんなの指摘されるまで気付かなかったわけないだろ
ＭＳは相変わらずアコギだな

これは困りマウス。

BingデスクトップがWindowsアップデートで来てるが
もはやアップデート自体が自殺行為だな。

パスワードをコピペで貼ってれば大丈夫なの？

>>97
ブルーライトヨコハマウスは使ってたことある

>>99
ネットでログインする時のパスワードってコピペできくない？
zipファイルを解凍するとかならコピペ使えるけど。

マカフィーはそれ自体がウィルス

画面の解像度でも、場所違うじゃ無いのか?

>>11
パソコンの後ろに表示されてるなら気付かれないっしょ

>>39
ネタかとヲモたら本当だったｗ
http://uploda.cc/img/img50cacf2b74e86.jpg

>>104
ネタにレスしなくてもｗ

やっぱりガラケーがハッピハッピーですやん

IEがOSの本体だったんだよｗ

IE10っていつ出たんだ
知らなかった

firefox使っている人って多いのね

そこで起動時にランダムでキー配列が変わるバーチャルキーボード開発だ！

いまだに fermmoond 問題さえも自動解決できない MS Windows（ウィルスバスターもだけど）
アップルに追い越されるのは時間の問題だろうな

なんやそれ

パソコン初心者の俺には何のことだかチンポンチンポンだよ。

そういえば、前に「マウスカーソルを追いかけてくる広告バナー」をFlashで
作ったことがあったっけ。
懸命に振り切らないとクリックしてしまうというナイスアイデアだったが
いろいろあってお蔵入りになった。

>>111
銀行のとか、そうなってるんだが.....

　
今のまともな銀行ならオンラインバンキングにはさまざまなセキュリティが組み込まれていて
例えば普段と異なるIPやブラウザでアクセスをするだけでも
ただちに警戒モードに入って追加の本人確認に入りますよ
単にユーザーネームとパスワードだけで入れるようなところは
銀行を廃業するべき

みんな！目的のハイパーリンクまでは、ＴＡＢキーを連打するんだ。

マウスカーソルがなにかわからない

大雑把に言って、自動車型の髭剃りのことだと思っていただきたい

ＩＥは使用禁止だす

>>121
じゃあChromeで

今日1日の統計

001 Internet Explorer 9.0 291 18.8%
002 Google Chrome 23.0.1271.95 244 15.7%
003 Internet Explorer 8.0 227 14.6%
004 Mozilla Firefox 17.0 222 14.3%
005 Google Chrome 23.0.1271.97 161 10.4%
006 Internet Explorer 6.0 104 6.7%
007 Internet Explorer 7.0 39 2.5%
008 Safari 536.26.17 28 1.8%
009 Mozilla Firefox 16.0 21 1.4%
010 Safari 534.57.2 18 1.2%
010 Safari 8536.25 18 1.2%
012 Sleipnir 2.9.14 14 0.9%
013 Mobile Safari 533.1 11 0.7%
014 Google Chrome 9.0.597.107 7 0.5%
014 Opera 12.11 7 0.5%
016 Sleipnir 2.9.15 6 0.4%
017 Google Chrome 24.0.1312.40 5 0.3%
017 Mozilla Firefox 3.6.3 5 0.3%
017 Mozilla Firefox 4.0.1 5 0.3%
017 Safari 533.19.4 5 0.3%
017 Sleipnir 3.8.3 5 0.3%

>>7
俺の使ってる金融機関はオンラインキーボード半ば強制のくせに固定配列

ｗｗｗｗｗｗｗｗｗｗｗ

早急に対策する予定はないとのこと。

早急に対策する予定はないとのこと。

早急に対策する予定はないとのこと。

早急に対策する予定はないとのこと。

早急に対策する予定はないとのこと。

(＃ﾟДﾟ)あぁ？？？

もうネットでカード使うな。代引きか現金書留にしろや。

>>119
白い矢印

>>119

マウスを動かすと同時に移動をする画面上のアイコンのこと

いろんな事考え付くなぁ

>>117
最近その辺強化されたよね
時々合言葉忘れそうになって、間違うことあるけどｗ

>>13
そこで思考が止まってるのは低脳

>>131
合言葉で「好きな映画は？」て出てきたけど、そんなの時々で変わるからすげー焦った

角田美代子は、グリコ森永事件と関係があった？

尼崎の事件は奥が深い。なんと、角田美代子の実弟があのグリコ森永事件の容疑者だったと？
この事件、調べれば調べるほど在日、警察、マスコミの闇が照らされてくるような気がしてきた。
グリコ・森永事件は未解決というか、なんだか隠蔽されたような形で終わってるが、
この事件はそうなってはならない。とにかく通名報道をやめさせることから始めないといけないな。
http://news-lol.com/438

「不思議でしかたないのが、原発を導入し、地震国にこれだけ作り、事故を起こし、
住民特に子供たちに多大な被曝と健康被害を引き起こした自民党が国民にまともに謝罪しないこと、
そして民主党の不人気を借りて、自民党勢力が再び上がってきていることだ。
党首は慰安婦否定する安部だし。おかしいよ！」https://twitter.com/kissmeyummy

今朝の朝ズバで原口氏が気になる発言。福島原発に備えられていた安全装置が、
2003年小泉政権時代に取り外されていたと。別途、香川県多度津の原発耐震研究用の工学試験所も、
小泉・竹中政権が2005年に「国費の無駄」として廃止。原発事故用レスキューロボも廃棄されている。
戦犯は小泉・竹中！http://twitter.com/#!/soleilhn/status/75709285656559617

「じつは家族を疎開させている東電社員は沢山いる。京都は避難民を多く受け入れているが、
転入生は東電社員の子どもだらけ。彼らは（東電社員の）親の指示で給食を食べない。
言ってることとやってることがまるで違うが、これが彼らの本音」（IWJ・岩上安身）
https://twitter.com/Fibrodysplasia

東電全社員を福島派遣するとのニュース。http://twitter.com/ykabasawa
まともな賠償金を払ってこない東電が年間10万人も体制で除染などの支援にあたるとのこと。
原発事故で人生を狂わせた人達に8万円という賠償、一方で社員へのボーナスが復活する。
さらには来年柏崎を再稼働する必要があるため、国民へのアピールが必要。

IE9だけど使いづらい上に英語でアインストールもできず使ってないわ

>>14
法人や教育機関は未だにIEが主流だろ
うちの大学だってIEだ

まあ…BIG6億でも当たったら真剣に考える

うちのシステム未だにIE6でしか動かないんだが
一向にバージョンアップしないんだよな
電算

基本的に、ブラウザはとあるページ上でマウスの動きを追跡出来る機能が元からある。
問題は、それが最小化してたり他のタブだったり、あらゆる場面で追跡出来ること。
正直クレジットカードなんてWeb上でしか入力しないし、
この問題が対策されても、Web上なら元からある機能でマウスの動きは追跡可能。

それに、Skypeの例だってSkypeの画面ある場所までは調べられないし、そんなに問題じゃない。
たとえばマウスだけが動いてる映像を見たところで、
そこから何してるかなんて判断出来るわけない。
それが目じゃなくパソコンならもっと判断できるわけない。

つまり、別に騒ぐほどじゃない。マウスだから。
だだ、これがキーボードとかになれば話は変わるが。事実上キーロガーと同じものになるから。。
マウス位置を追跡するウイルスとか聞いたことない罠　つまりそういうこと

ていうか、馬鹿にはパソコン使わせるなよ。

こういうアクセス解析あったような
ユダ公製の

>>141
>>139にも書いたけどWebページ上でマウス位置追跡は、
元から機能としてある。だだ、それの範囲はそのページ上のみ。
今回のはそれがどんな状態でも追跡出来ること。そこが問題。

意味なく　画面上で25回回して
バカって書いてやった。

「たとえIEを最小化したとしてもディスプレイ全面にわたって追跡可能」
ってことは、つまりそのJavaScriptがあるページが開かれてなければいいわけで、
ブラウザを起動した後寄り道せずに目的のサイトに行けば
とりあえずは回避できるということかな。

広告コードに挿入される可能性もあるわけだからネットバンキング使ったりとかするなら
ブラウザを一度すべて閉じてから銀行のサイトだけ開き直せってことだな

マウスでクリックした位置がわかっても
そこに何が表示されているかは
分からないんじゃないの？

>>140
同意

車と同じように免許制にして欲しい
使いようによってはイジメや犯罪、テロだって起こせてしまうからね

>>145
しかし、銀行サイトにも広告あるんだよな。

>>146
はっきり見えなくても動き方の範囲・パターンで
何を入力しようとしてたのかはかなり絞る事ができるね
想定してる被害ってのは要するに、キーロガー対策のつもりで使ってるだろうソフトウェアキーボードだからね

Chromeの俺勝利！

>>51
( ´∀｀)人(´∀｀ )ﾅｶｰﾏ

未だにieを使ってるやつは情弱バカカムリ

>>11
モニター叩っ壊せ。
嫁に軽蔑されるより怒られた方がマシ。

つまりホームページのどこをどうクリックしたか丸分かりと言うことか