Googleが、同社のウェブサイトで見つかったセキュリティ上の欠陥を修正した。複数のセキュリティ研究者らが米国時間10日に明らかにしたところでは、このバグはフィッシング詐欺やアカウントの乗っ取りなどに悪用されるおそれがあったという。
この問題を発見したセキュリティベンダーのFinjan Softwareによると、この「クロスサイトスクリプティング」の脆弱性は、Googleの「AdWords」広告プログラム用のウェブサイトと顧客トレーニングサイトに存在していたという。
攻撃者にこの欠陥を悪用されると、Googleのアカウントを乗っ取られたり、フィッシング詐欺を仕掛けられたり、さらにはユーザーのコンピュータに悪質なコードをダウンロードされてしまうなどのおそれがあった。フィッシング詐欺とは、ユーザーをだましてユーザー名やパスワード、クレジットカードの詳細情報、社会保障番号などの機密情報を提供させる行為を指す。
Finjanがこのバグの存在を先月終わりにGoogleに伝えたところ、その後30時間以内に修正が行われたと、FinjanのバイスプレジデントLimor Elbazは述べている。「Googleの対応は非常に良かった」(Elbaz)
Googleは、同社が「少し前」に警告を受け、この欠陥を修正したことを認めた。Googleのある関係者は「ユーザーデータの改ざんは一切無かった。業界で最良とされる手法通りに脆弱性を開示したFinjanを賞賛する」と電子メールによる声明のなかで述べている。
このセキュリティ問題は、Googleのウェブサイト上にあるフォームが認証を行わず、特定のフィールドに入力されたデータにフィルターをかけていなかったことが原因だった。このような場合には、ユーザーのコンピュータ上で動作する余分なデータやスクリプトを挿入できてしまうという。この欠陥を悪用するには、攻撃者が特別なウェブリンクを用意し、ユーザーをだましてリンク先に飛ばす必要がある。
「Googleのケースは、リンクが無害なもののように見える点が危険だった」(Elbaz)
クロスサイトスクリプトの欠陥は定期的に見つかっている。今年はじめには、Finjanが同じようなバグをMicrosoftのXbox 360ウェブサイトで発見。同社はその前にも、Yahooのウェブベース電子メールサービスで同様の欠陥を発見していた。
Finjanは、業務システムをウェブベースの攻撃から守る製品を販売しており、ウェブサイトをスキャンして脆弱性を探し出すツールを保有している。同社は人気の高いウェブサイトを定期的にテストしている。「われわれは、ベンダー各社に製品の向上を呼びかける目的でこれを行っている」(Elbaz)
クロスサイトスクリプトの欠陥が修正されたため、FinjanはGoogleのウェブサイトを安全だと見なしている。
「ほかのウェブサイトは、少なくともクロスサイトスクリプトの脆弱性については問題ないことが分かっている。同サイトについては引き続き注意していく」(Elbaz)
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力