ニュース
» 2007年03月28日 17時58分 公開

不正コードの標的はコンピュータからブラウザへ? (2/2)

[Lisa Vaas,eWEEK]
eWEEK
前のページへ 1|2       

 Symantecは、このケースでは暗号化されたJavaScriptがビジターをリダイレクトしていると報告した。ほかのJavaScript悪用の例としては、Yahoo!のWebメールシステムを攻撃したYamannerウイルスや、MySpaceユーザーを狙ったSamyワームなどがあるとホフマン氏は指摘する。

 「以前にも(ワームの攻撃は)あったが、デスクトップアプリケーションに感染していた」(同氏)

 Webが攻撃者を引きつけるのは、どこにでもあり、より効果的な攻撃の拡散手段となるからだと同氏は言う。WebはWindows、Linux、Mac、携帯電話、スマートフォン、JavaScriptに対応するものなら何にでも攻撃を広めるという。

 「WindowsあるいはLinuxユーザーにだけ感染するマルウェアを書くことも、JavaScriptでマルウェアを書いて、皆に感染させることもできる」(同氏)

 「JavaScriptでできるとされている機能には限界がある。だがこの2〜3年で、人々はJavaScriptでできるあらゆる種類の巧妙な技を発見した」(同氏)

 ホフマン氏は当初、ShmooconでJiktoを公開するつもりだったが、SPI Dynamicsからの要請でそれを取りやめた。その原因は、攻撃者がこのツールを使って引き起こし得る損害の大きさにある。

 「現状はこうで、事態がどこまで悪化し得るかということを示すために、われわれはどちらかというとこれ(Jikto)を教育のプロセスとして使っている」(同氏)

 同氏は、自分が知っているほとんどの開発者はセキュリティの点で2〜3年遅れているため、教育は確かに必要だと話す。

 「みんなを言いくるめて、『これが、このコードが引き起こすすべての結果だ』と言いたかった」(同氏)

 一部のセキュリティ専門家は、クロスサイトスクリプティング攻撃の増加を指摘してきたが、この種の攻撃は最近になって「本当に危険」になったとホフマン氏は言う。

 セキュリティ業界以外では、この危険性に対する認識は低い。「Webの脆弱性を深刻に受け止める必要がある」と同氏は語る。

 問題は、ホフマン氏がJiktoで示したような攻撃に影響されないようブラウザにパッチを当てられるのは誰なのかということだ。そんな人はいないと同氏は言う。「IEやFirefoxに根本的な問題があるわけではない」からだという。

 JavaScriptにも問題はない。問題なのは、JavaScriptが悪用可能な機能を簡単に実行できてしまうことだと同氏は指摘する。

 「JavaScriptの機能の中には、JavaScriptをこのように(悪事に)使えるようにするものがある。バールを持っているようなものだ。バールは車をこじ開けるのにも使えるし、良い使い道もたくさんある。JavaScriptは本来悪いものではない。皆が思ってもいなかった使い方ができるということだ」(同氏)

 実際、Google、eBay、PayPal、Yahoo!、Microsoft、Mozilla Foundationなどの大手インターネット企業は、脆弱性のためにクロスサイトスクリプティングの踏み台として利用されたことがある。

 これらの企業がこの問題に対処したように、もっと小規模な企業も対処しなければならないとホフマン氏は言う。

 「GoogleとYahoo!、eBayとPayPalはWebセキュリティに、一から安全にアプリケーションを設計することに年間数千万とはいかなくても、数百万ドルを投じている。こうした企業すらも間違いを犯す。だがこれら大企業はこの問題を真剣に受け止めている。Webサイトを持つ中小企業はこれを深刻にとらえるべきだ。(大手企業が)非常にスマートでも間違いを犯すのなら、中小企業が間違う可能性もある」(同氏)

 SDI Dynamicsが問題のコードの公開を控えたことは慰めにならない。ホフマン氏がJiktoで示したようなやり方でJavaScriptを悪用できると知っているのであれば、ほかにも知っている人が必ずいる。

 「わたしはそこまで聡明ではない。わたしがJiktoのことをカンファレンスで話しているときには、ほかの誰かが既にこのコードを発見していたと考えていい。そのような人たちはほかの人にそのことは言っていない」と同氏。彼らはJavaScriptをそのような方法でひそかに使用する可能性が高いからだという。「彼らは(そのような)コードを販売したり、脆弱性を見つけるのに使ったりするだろう」

 Jiktoはツールというよりもむしろコンセプト実証コードだと同氏は言う。

 「誰かがわたしの成果を再現するのは非常に簡単だ。これはコンセプト実証コードで、おそらくは合計で900行くらいだろう。そのほとんどは自分向けのコメントと空白行だ。そんなに高度なコンセプトではない」。それでも、「皆がクロスサイトスクリプティングを取り除かなければならない」ことを示す役には立ったとホフマン氏は語り、「これは問題ではないと考える人は、Googleの」敏感さを見てみるべきだとしている。

前のページへ 1|2       

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ