Firefox拡張の「Greasemonkey」が人気上昇中--セキュリティリスクも

　ノルウェーのブラウザメーカーOpera Softwareは、ユーザースクリプトのアイデアを借用し、これに似た機能をOpera 8のベータ3に追加している。これもユーザースクリプトへの流れを示す動きといえなくもない。

　各ウェブサイトがGreasemonkeyにどのような反応を示そうと、同エクステンションに対して相当大きなセキュリティ上の関心が寄せられることは間違いない。なお、GoogleサイトをカスタマイズできるGreasemonkey用スクリプトについて、Googleにコメントを求めたが、すぐには回答を得られなかった。

　Greasemonkeyや他のユーザースクリプト全般に共通する問題は、これらのスクリプトを悪用することも可能である点だ。また、面白そうなスクリプトを探すエンドユーザーが、誤って悪質なコードを使用してしまう可能性もある。

　「JavaScriptファイルなら、ユーザーのコンピュータや保存したデータが被害を受ける可能性は全くない。しかし、出来のひどいスクリプトでOperaの動作が遅くなることは考えられるし、ユーザーの閲覧履歴を密かにチェックするような悪質なスクリプトも存在し得る」と、Opera Softwareはウェブサイトに掲載した情報のなかで、同社ブラウザの最新版ベータに追加した機能について注意を促している。「素性もわからず信用できない人間がつくったスクリプトは、絶対にインストールしたり利用したりしてはいけない。もし疑わしいものを見つけたら、Operaの掲示板やニューズグループ、メーリングリストで質問し、自分が使って見たいと考えているスクリプトの出来映えや、そのスクリプトに悪用される可能性がないかどうかを確かめるように」

　また、ユーザースクリプトはパスワードの窃盗行為にも利用されるおそれがあると、Computer Bytes Manというウェブサイトを運営するセキュリティコンサルタントのRichard Smithは述べている。

　「悪い連中が、このツールを利用して、ログインフォームでユーザー名やパスワードを盗むためのスクリプトを作成する可能性が高い。こうしたスクリプトをインストールするためには、さらにユーザーのコンピュータに侵入する必要があるが、それでもこのツールを使うことでずっと簡単にこれらの情報を盗めるようになる」（Smith）

　GreasemonkeyをつくったのはAaron Boodmanというシアトル在住の26歳のプログラマだ。同氏はこのエクステンションのセキュリティに関する問題についてはコメントを差し控えた。

　しかし、Boodmanは先ごろ自らのウェブサイトで、Greasemonkeyにセキュリティ上の問題があることを認め、このエクステンションの知名度が高まった結果、これが危険にさらされるようになることを心配していると述べている。

　「ハッカーは、ユーザーが望む機能を実行するスクリプトも書ける一方で、ハッカーが所有するサーバに向けてユーザーの（PCのなかにある）クッキーを送るようなスクリプトもつくれてしまう。また、パスワードの入力欄をスキャンして、それを（ハッカーの）サーバにアップロードするといったことさえ可能だ・・・現時点では、まだ（Greasemonkeyの）コミュニティが比較的小規模であり、参加者は技術に詳しい連中だというのが唯一の救いだ。この環境では、ハッカーが悪質なスクリプトを配布しようとしても難しいだろう」（Boodman）

　同氏はこの書き込みのなかで、 Greasemonkeyのセキュリティを改善するアイデアを受け入れる用意があると述べている。

　いまのところ、同氏はOpera Softwareと同じようにユーザーに注意を促している。

　「私に言えるのは、他のソフトウェアの場合と同じように、ユーザースクリプトをインストールする際にも、すこし頭を使うべきだということだけだ。そのスクリプトを書いたのは信用できる人間か、あるいは少なくとも自分が信用できるソーシャルネットワークに属している人間かどうかを確かめて欲しい」（ Boodman）