Microsoft EdgeのSmartScreen、偽URLや偽連絡先が表示可能

headless 曰く、　Internet ExplorerやMicrosoft Edgeでは、危険なWebサイトを警告する「SmartScreen」機能が搭載されているが、Microsoft EdgeのSmartScreenで、URLを偽装した警告画面を表示可能な問題が発見された（Broken Browser、Softpedia）。

　SmartScreenの警告ページが表示される際、アドレスバーにはアクセスしようとしているURLが表示される。この表示内容自体は実行ファイルやDLLのリソースから取得されたもので、Edgeの場合警告ページは「ms-appx-web://microsoft.microsoftedge/assets/errorpages/PhishSiteEdge.htm」のようなURLに格納されている。このURLをMicrosoft Edgeのアドレスバーに直接入力してもWeb検索結果が表示されるだけだが、「.」を「%2e」に置き換えてリンク先に指定すると警告ページが表示される。

　これだけではアドレスバーに表示されるURLが元のページのままとなるが、ハッシュで別のURLを指定することで任意のURLを表示させることが可能となる。さらに、クエリパラメーターとして「BlockedDomain」を指定することでブロックされたドメイン、「Host」を指定することで追加情報（日本語環境では「ホスト元」として表示される）をそれぞれページ上に表示させることが可能だ。また、これらのクエリパラメーターに電話番号のような文字列を含めると自動でリンク化され、電話アプリなどを直接呼び出すことも可能となる。そのため、Broken Browserの記事では詐欺師にとって非常に便利な機能だと述べている。

　なお、Broken Browserの記事ではwindow.openメソッドを使用する必要があるような記述になっているが、リンクでも警告ページの表示は可能だった。「PhishSiteEdge.htm」のままで動作しない理由としては、リソース内の特定のファイルが直接呼び出されないようブロックリストに登録されており、「PhishSiteEdge%2ehtm」とすることでチェックが回避できるものとみられる。

　スラドのコメントを読む | ITセクション | セキュリティ | インターネット

　関連ストーリー：
Googleとは無関係の「ɢoogle.com」というサイトが確認される 2016年11月24日
Windows 10で他のブラウザーを使用しているとMicrosoft Edgeの広告が表示される？ 2016年11月06日
Microsoft Edge、ソーシャルエンジニアリング型マルウェアの99%をブロックしたとのテスト結果 2016年11月05日