JavaScriptを悪用した攻撃手法--セキュリティ研究者らが発見 - (page 3)

ホストからのPing

　このJavaScriptスキャナは、JavaScriptのImageオブジェクトを使ってpingを送信することにより、あるIPアドレスを持ったコンピュータの有無を判断する。そして、標準的な場所に保存されている画像ファイルや受信トラフィック、受信エラーメッセージを見て動作中のサーバの種類を判断すると、SPI Dynamicsの資料にはある。

　悪質なJavaScriptは攻撃者のサイトに置くこともできるが、クロスサイトスクリプティングとして一般に知られる脆弱性を悪用すれば、攻撃用のコードを一般のサイトに潜ませることもできる。これまでも、Google、Microsoft、eBayなどの大手ウェブ関連企業が、これらのセキュリティホール対策を迫られてきた。AOL傘下のNetscape.comも先週、NetscapeのウェブサイトにJavaScriptを埋め込むことを可能にしていた脆弱性を修正している。実際にこの脆弱性は悪用されており、犯人はライバルのDigg.comファンだと思われる。

　BlackHatでは、Grossman氏がある攻撃のデモを行う予定だ。同氏は、「われわれは、内部のIPアドレスを入手する方法、内部ネットワークをスキャンする方法、DSLルータを識別して侵入する方法をお見せする。ブラウザを使ってイントラネットを攻撃するため、ブラウザを完全にコントロールする様子を見せられる」と述べている。

　この攻撃に対し、PCユーザーはほとんど何の対策もとることができない。ユーザーとサーバの安全を確保するための負担は主にウェブサイトの開発者にかかってくると、専門家らは語っている。PC用セキュリティソフトウェアのなかには悪質なJavaScriptを検知するものもあるが、攻撃のパターンファイルに依存してこれを阻止する形を取るため、対応は攻撃が起こってからとなってしまう。

　「サーバ側で必要な対策をとることを推奨する」とGrossman氏は語っている。サイト運営者は、クロスサイトスクリプティングの脆弱性を修正し、すべてのJavaScriptをチェックする必要がある。「ユーザーは訪問するウェブサイトのなすがままになってしまうのが実状だ。ユーザーはJavaScriptを無効にすることもできるが、あまりに多くのウェブサイトがこれを利用しており、それでは本当の解決にならない」と同氏は語っている。