Fortify、Ajaxのセキュリティ問題に警鐘

[ITmedia]

　セキュリティ企業のFortify Softwareは4月2日、Web 2.0とAjaxのセキュリティ問題について解説したアドバイザリーを公開した。

　Fortifyによると、「JavaScript乗っ取り」（JavaScript Hijacking）と呼ばれるこの問題では、Web 2.0アプリケーションにアクセスするユーザーを装った攻撃者が、JavaScriptを使ってアプリケーションとブラウザの間でやり取りされる重要情報を読むことができてしまう。

　問題は各種のAjaxフレームワークに広く存在しており、悪用されるとマルウェアを使って企業の社外秘情報にアクセスされる恐れもあるという。

　同社はGoogle、Microsoft、Yahoo!、オープンソースコミュニティーなどが提供している人気Ajaxフレームワーク12種類を分析。その結果、JavaScript乗っ取り防止の仕組みを導入していたのはDirect Web Remoting（DWR）2.0だけで、ほかのフレームワークは防御措置の提供やセキュリティ問題に関する言及がなかったと報告している。

　また、この12種類以外のフレームワークでも、重要データの転送フォーマットとしてJavaScriptを使っているAjaxコンポーネントには、セキュリティ問題が存在する可能性があると指摘している。

　Fortifyのアドバイザリーでは、この問題に関する詳しい情報と、自社に問題が存在するかどうかを見分ける方法、および問題を修正する方法について解説。アプリケーションが悪質なリクエストを拒絶し、アプリケーションで生成されるJavaScriptを攻撃者が直接実行できないようにする2重のアプローチを提唱し、こうしたフレームワークやアプリケーションの開発者は、直ちに問題を防ぐための措置を取るべきだと勧告している。