Hoffman氏は「攻撃の半分は、情報を入手して整理するという作業である。その情報収集を、大勢の人に分散させて行えるようになった」と説明する。さらに、Jiktoが設置されたページにたまたまアクセスした無防備なウェブ閲覧者によって脆弱性探しが実行されるため、標的にされたサイト側は攻撃者を特定できない。
脆弱性発見にセキュリティコミュニティーで広く用いられているツール「Nmap Security Scanner」の開発者Fyodor Vaskovich氏は、JiktoはJavaScript悪用法の興味深い例であるが、従来の脆弱性検出ツールの方が効果的だろうと説明する。
同氏は「このようなJavaScriptによる攻撃は、侵入しておいたマシンから脆弱性を探すのに比べて、実行速度が非常に遅いのが普通である。攻撃者の秘匿や脆弱性検出作業の分散は有効だが、実際には、攻撃者は大抵の場合、かなり広い範囲での脆弱性探しが罰せられずに可能であり、単に多段プロクシを使うだけの場合もある」と述べた。
ウェブで広く利用されているスクリプト言語JavaScriptで書かれているため、Jiktoはほとんどのブラウザで警告を出すことなく実行されるだろう。このツールが仕込まれたウェブサイトにアクセスしたインターネットユーザーは、何が起こったかを知ることさえないかもしれない。ブラウザを開いている間だけ実行され、明らかな痕跡や後遺症を残すことなく消えてしまう。
その点でJiktoは、攻撃者がPCのコントロールを奪うための一般的な手段であるボットとは異なる。ボットは普通、ウェブブラウザのセキュリティホールを利用したり、トロイの木馬を添付した電子メールを使ったりしてPCに侵入する。ボットの侵入は、最新パッチの当たったブラウザ、電子メールの適切な運用、セキュリティソフトウェアのアップデートなどで防げる場合が多い。
Hoffman氏は「JiktoなどのJavaScriptを利用した脅威に対して、ユーザーができることは限られている。トロイの木馬が送りつけられたり、古典的なバックドアが仕掛けられたりするわけではない。実際、コンピュータへは侵入しないのである。それが恐ろしい点だ。アンチウイルスは役に立たないだろう」と述べた。
JavaScriptは、ウェブサイトの限界を押し広げることで反響を呼んでいるWeb 2.0のムーブメントで大きな役割を担っている。しかし、悪意あるJavaScriptは、特に一般化しつつあるウェブサイトのセキュリティホールと組み合わされた場合、潜行性のウェブベースの攻撃につながる可能性がある、とセキュリティ専門家は述べている。
現在、Jiktoで可能なのは巡回と脆弱性の検知のみだ。Hoffman氏は、次バージョンで脆弱性の悪用とデータの抽出を考えている。同バージョンは、ラスベガスで夏に開催のセキュリティカンファレンス「Black Hat」で公開される予定だ、と同氏は述べた。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」