JavaScriptが登場して10年ほどが経過する。同スクリプト言語はウェブサイトで利用されてきたが、サイトのインタラクティブ性をさらに高める実装形態である「Ajax」が注目されるようになってから、ますます人気を博するようになった。ただ、Ajaxにもセキュリティ上の落とし穴がある。
悪質なJavaScriptは何年も前から作成可能だったが、セキュリティ研究者らはあまりこれに注目せず、素早く簡単にPCを乗っ取れるウェブブラウザの脆弱性を研究することに重点を置いてきたと、Fyodor Vaskovich氏は述べている。同氏は、人気のポートスキャンツールNmapの生みの親である。
Vaskovich氏は、「これまでは今回のような攻撃手法はほとんど探されてこなかった。SPI Dynamicsが発見した脆弱性で重要なのは、この問題を修正すると多数のウェブアプリケーションが利用できない状態に陥ってしまう点だ。つまり、これがあと数年放置されたままになる可能性もあるということだ」と述べている。
JavaScriptベースのネットワークスキャナを開発しようという同様の試みは何度かあったが、SPI Dynamicsの例のように高度なものはこれまでなかったと、Vaskovich氏は語っている。Vaskovich氏は、「巧みな手法で攻撃を試み、確かな根拠に基づいて問題をデモンストレーションしたSPI Dynamicsは称賛に値する」と述べている。
このJavaScriptは実行されると、まずPCの内部ネットワークアドレスを取得する。そして、JavaScriptオブジェクトとコマンドを使い、ローカルネットワークをスキャンしてウェブサーバを探し出す。ここでは、ウェブサイトの運用に使われるマシンのほか、ルータやプリンタ、IP電話などのネットワーク接続デバイスや、ウェブインターフェースを持つアプリケーションもスキャンの対象になる。
Grossman氏は、「最近はあらゆるものにウェブサーバ機能が搭載されている」と語っている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」