公開禁止の危険な攻撃ツールが流出?

ハッカーコンベンションで公開が差し止められた脆弱性スキャンツールのコードが出回っているようだ。

» 2007年04月03日 14時33分 公開
[ITmedia]

 危険すぎて公開が差し止められた攻撃ツールが、野に放たれてしまったようだ。

 セキュリティコンサルティング企業SPI Dynamicsのセキュリティ研究者ビリー・ホフマン氏は4月2日、クロスサイトスクリプティングの脆弱性をスキャンするツール「Jikto」のソースコードが出回っているようだと公式ブログで報告した。

 ホフマン氏が開発したJiktoはJavaScriptで書かれたツールで、PCあるいは携帯電話のブラウザに感染し、クロスサイトスクリプティングの脆弱性を持つサイトを探して第三者に報告する。同氏は先月のハッカーコンベンションShmooConで、このツールを使った攻撃手法をデモンストレーションした。同氏はこのイベントでJiktoを公開するつもりだったが、SPIからの要請でそれを取りやめた。

 このイベントの後、DiggにJiktoのコードが投稿され、ホフマン氏は投稿者に連絡してコードを削除してもらった。この投稿者は「運良く」コードを入手したとしているが、ほかにも同じ方法でコードを入手した人がいるかもしれないし、Diggから削除される前にコードを手に入れた人がいる可能性もある。

 同氏は、JiktoはGNUCITIZENのpdpという人物の成果を基にしたものであるため、同氏がデモを行ったときには既にJiktoのコードがネット上に出回っていたと考えている。またデモの際に誰かがJiktoのコードを置いたURLを見た可能性もあるという。

 SPIがコードを漏らしたわけではなく、同社が厳重な防止策を取っていたとしても、こうした事態が起きるのは時間の問題でしかなかっただろうと同氏は述べている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ