グーグル、「AdWords」用サイトなどのバグを修正

　Googleが、同社のウェブサイトで見つかったセキュリティ上の欠陥を修正した。複数のセキュリティ研究者らが米国時間10日に明らかにしたところでは、このバグはフィッシング詐欺やアカウントの乗っ取りなどに悪用されるおそれがあったという。

　この問題を発見したセキュリティベンダーのFinjan Softwareによると、この「クロスサイトスクリプティング」の脆弱性は、Googleの「AdWords」広告プログラム用のウェブサイトと顧客トレーニングサイトに存在していたという。

　攻撃者にこの欠陥を悪用されると、Googleのアカウントを乗っ取られたり、フィッシング詐欺を仕掛けられたり、さらにはユーザーのコンピュータに悪質なコードをダウンロードされてしまうなどのおそれがあった。フィッシング詐欺とは、ユーザーをだましてユーザー名やパスワード、クレジットカードの詳細情報、社会保障番号などの機密情報を提供させる行為を指す。

　Finjanがこのバグの存在を先月終わりにGoogleに伝えたところ、その後30時間以内に修正が行われたと、FinjanのバイスプレジデントLimor Elbazは述べている。「Googleの対応は非常に良かった」（Elbaz）

　Googleは、同社が「少し前」に警告を受け、この欠陥を修正したことを認めた。Googleのある関係者は「ユーザーデータの改ざんは一切無かった。業界で最良とされる手法通りに脆弱性を開示したFinjanを賞賛する」と電子メールによる声明のなかで述べている。

　このセキュリティ問題は、Googleのウェブサイト上にあるフォームが認証を行わず、特定のフィールドに入力されたデータにフィルターをかけていなかったことが原因だった。このような場合には、ユーザーのコンピュータ上で動作する余分なデータやスクリプトを挿入できてしまうという。この欠陥を悪用するには、攻撃者が特別なウェブリンクを用意し、ユーザーをだましてリンク先に飛ばす必要がある。

　「Googleのケースは、リンクが無害なもののように見える点が危険だった」（Elbaz）

　クロスサイトスクリプトの欠陥は定期的に見つかっている。今年はじめには、Finjanが同じようなバグをMicrosoftのXbox 360ウェブサイトで発見。同社はその前にも、Yahooのウェブベース電子メールサービスで同様の欠陥を発見していた。

　Finjanは、業務システムをウェブベースの攻撃から守る製品を販売しており、ウェブサイトをスキャンして脆弱性を探し出すツールを保有している。同社は人気の高いウェブサイトを定期的にテストしている。「われわれは、ベンダー各社に製品の向上を呼びかける目的でこれを行っている」（Elbaz）

　クロスサイトスクリプトの欠陥が修正されたため、FinjanはGoogleのウェブサイトを安全だと見なしている。

　「ほかのウェブサイトは、少なくともクロスサイトスクリプトの脆弱性については問題ないことが分かっている。同サイトについては引き続き注意していく」（Elbaz）