不正コードの標的はコンピュータからブラウザへ？（1/2 ページ）

セキュリティ研究者が、JavaScript対応ブラウザを攻撃に利用するコードをデモした。クロスサイトスクリプティングの脆弱性を悪用した攻撃は危険度を増している。

[Lisa Vaas，eWEEK]

　危険すぎて公開できない新たなツール「Jikto」は、ブラウザが搭載されたあらゆるPC――Windowsでも、Macでも、Linuxでも――あるいはあらゆるデバイスをサイト攻撃者に変えることができる。

　このツールは、クロスサイトスクリプティングの脆弱性を探すWebアプリケーションスキャナ。SPI Dynamicsのセキュリティ研究者ビリー・ホフマン氏は3月24日のハッカーコンベンションShmooConで、このツールを使った攻撃手法をデモンストレーションした。JavaScriptで書かれたJiktoは、JavaScript対応ブラウザにひそかに入り込むことができる。

　JiktoはPCあるいは携帯電話のブラウザ内に自身をひそかに組み込んだ後、感染したブラウザのユーザーに気付かれずにクロスサイトスクリプティングの脆弱性を持つサイトを探して、それを第三者に報告できる。

　さらに、クロスサイトスクリプティングの脆弱性を持つサイトに自分自身を複製し、そのサイトにアクセスしたブラウザに感染することが可能だと、ホフマン氏はeWEEKの取材に応えて語った。

　これはJavaScriptではできないことになっているが、残念ながら可能だと同氏は言う。

　JavaScriptはもともと、プロトタイプベースのプログラミングというコンセプトに基づくスクリプト言語ECMAScriptのNetscape版だった。

　JavaScriptは現在はMozilla Foundationがコントロールしており、Webサイトのクライアント側で使われていることで最も知られている。

　そうした状況の中で、JavaScriptは主に、HTMLページに埋め込まれ、DOM（Document Object Model）とやり取りする機能を書くのに使われている。ポップアップウィンドウの作成やWebフォームへの入力値の確認、マウスオーバー時の画像表示を変えるなど、HTMLではできない処理をするために利用される。

　Webアプリケーション脆弱性スキャナは約7年前から存在していた。ほとんどはPCにインストールされるソフトウェアだ。

　JiktoはJavaScriptで書かれているため、クライアントにインストールされる必要はないとホフマン氏は言う。

　「ブラウザはWebページにアクセスするだけだ。そのページにJavaScriptが含まれていたら、ほかのサイトをスキャンして脆弱性を探し始める可能性がある」（同氏）

　MicrosoftのInternet Explorer（IE）チームのメンバーや、Firefox開発に携わるMozilla代表者を含むShomooCon来場者は、悪党がJavaScriptを使って何ができるかを知って「少々ショックを受けていた」と同氏は言う。

　それはよいことだと同氏は言う。「彼らに関心を持ってもらうことで、（Webサイトの脆弱性の危険性に対する認識を高めるのに）利用できる」

　実際、セキュリティ研究者は過去数年間、Webサイトの脆弱性、特に攻撃者がJavaScriptをサイトに挿入できるクロスサイトスクリプティングの脆弱性を利用した攻撃が大幅に増えるのを目の当たりにしてきたと同氏は語る。

　例えば攻撃者は、オンラインの掲示板やフォーラムでメッセージや質問を入力する代わりに、JavaScriptを挿入できる。それによって生まれた不正なHTMLが、ブラウザにダウンロードされる。

　最近のJavaScript悪用の例には、3月にWindows Live Italyの検索エンジンに「リンク爆弾」が仕掛けられたケースがある（3月13日の記事参照）。このケースでは、「人気」キーワードの検索結果の約95％がマルウェアやエクスプロイトコードをばらまくサイトにつながっていた。