Google、Webアプリの脆弱性に関する指摘を否定

2人の研究者がGoogleのWebアプリの問題をオンラインで公開したが、Googleは「既に対策を講じている」と反論している。

[Brian Prince，eWEEK]

　米GoogleはクロスドメインでのWebアプリケーションの共有に関連したセキュリティ脆弱性に関する指摘を否定している。2人のセキュリティ研究者は先ごろ、Googleユーザーを脆弱な状態にさらすセキュリティ上の問題をめぐり、その詳細をオンラインで公開した。だがGoogleはこれに対し、「サービスが複数のドメインでホスティングされる場合にユーザーを悪意ある行為から保護するための手段は既に講じた」と反論している。

　セキュリティ研究者のアビブ・ラフ氏は10月10日、クロスドメインでのWebアプリケーションの共有に関するセキュリティ上の欠陥について、自身のブログに概略を投稿した。同氏によると、この脆弱性はGoogleのサブドメインで提供されている幾つかのGoogleアプリケーションに影響するものだという。例えば、Gmail、Google Maps、Google Images、Google News、およびGoogle検索などで用いられているものだ。「ほかの脆弱性と組み合わせて使われた場合、この脆弱性はトラブルを引き起こすことになりかねない」と同氏はブログに記している。

　「例えば、Google Mapsにクロスサイトスクリプティング（XSS）の小さな問題が1つあっただけでも、ブラウザのSame Origin Policy（SOP）を回避することで、GoogleやGmail、あるいはGoogle Appsのアカウントのハイジャックに利用されかねない。これまでにもgoogle.comの一部のサブドメインではXSSの問題が幾つか報告されてきたが、それらの問題は現在は修正されている」と同氏はブログに記している。

　もう1人の研究者、エイドリアン・パスター氏はこの脆弱性を実証するためのPoC（Proof of Concept）コードをGNUCitizen.orgに投稿し、ブラウザのアドレスバーにGoogleドメインが表示されたままの状態で攻撃者が自身のページを挿入できることを示している。パスター氏はこの実例において、誰かをだましてログイン情報を入力させるために使用できる偽のログインページを作成して見せている。同氏はGNUCitizenに次のように書いている。

　実際的な例を示せば、フレームインジェクションがどのようなものかを読者の皆さんにも理解してもらいやすいだろうと考えた。そのために、わたしはGoogle Imagesサービスを活用したPoCコードを用意した。問題は、正当なURLであれば通常images.google.comドメインを使うはずなのに、現実には、Gmailで使うmail.google.comなど、google.comのそのほかのサブドメインも使えるようになっている点だ。フレームインジェクション攻撃を仕掛けようとしているわれわれにとっては、これは理想的だ。フレームインジェクション攻撃はGmailユーザーに対してフィッシング攻撃を仕掛けるのに使われる可能性もある。

　ラフ氏が4月にこの問題をGoogleに報告したところ、同社幹部は「現在調査中だ」と答えたという。その後10月10日まで待っても何ら修正の報告をもらえなかったため、同氏はブログでの公開に踏み切ったという。同日Googleに連絡したところ、同社の広報担当者は「当社はこの問題を承知しており、セキュリティ上問題のあるケースについては既に対策を講じている」と語ったという。

　パスター氏が公開した見本ページは一見正当なページに見える。ユーザーはそのページが本物かどうかを幾つかの方法で判断できるという。例えば、このページのアドレスバーからはこれがHTTPページであることが分かるが、GoogleのログインページはすべてHTTPSページとなっている。またGoogleが提供しているSafe Browsing APIもユーザーをフィッシングサイトから保護するのに役立つ。

原文へのリンク