グーグル、検索サービスのセキュリティ欠陥を修正

　Googleは米国時間21日、ハッカーによるページ変更を可能とする、同社ウェブ検索サービスのセキュリティ欠陥を修正した。

　セキュリティ情報サイトのSecurity Focusが運営するメーリングリストBugtraqに20日付けで投稿されたレポートによると、Googleの新しいデスクトップ検索ツール「Desktop Search」にはハッカーがサイトに表示される画像やロゴのウェブアドレスにJavaScriptを挿入するのを防ぐ機能が付いていなかったようだ。この脆弱性を悪用すれば、第三者がGoogleのページの外観を変えて、サイト訪問者にクレジットカード番号の入力を求めるなど、フィッシング詐欺を行うことが可能になると、投稿者は警告していた。

　Googleは、この問題を修正したと述べる。「Googleは先日、われわれのサイトのユーザーに影響を与えかねない潜在的なセキュリティ脆弱性について警告を受けた」と同社の広報担当は述べ、「それを受け、われわれはこの脆弱性を修正した。Google.comの全ユーザーは現在も将来もわれわれの保護下にある」と付け加えた。

　この警告は、Googleが最新のWeb検索製品であるDesktop Searchをリリースしてわずか1週間後に出された。Desktop Searchは、ウェブページだけでなくPCに保存されたファイルも検索することを可能にするツールだ。セキュリティ専門家らはこの新技術を精査し、いくつかの興味深い結果を導き出している。たとえば先週、セキュリティコンサルタントのRichard Smithは、GoogleがIM（インスタントメッセージ）クライアントを準備中であることを示すヒントを見つけ出している。

　今回の警告を発したのはJim Leyという人物だ。同氏によると、少なくともこの2年間、Googleのメインサイトもこの欠陥の影響を受けていたという。Google Desktopの登場により「デスクトップを検索した結果が通常のGoogle検索結果ページに表示されるようになったため」、この欠陥は深刻度を増したと同氏は述べる。Leyによると、この欠陥を利用してユーザーの全ての検索活動の記録をとることも可能だったという。

　この欠陥による影響を受けたのは、主にMicrosoftのウェブブラウザ「Internet Explorer」を利用する人々だったとLeyは述べている。