Googleが、フィッシング詐欺行為や口座乗っ取りなどの攻撃を可能にするセキュリティ脆弱性を修正したことを、セキュリティ研究者らが米国時間21日に明らかにした。
この問題を発見したウェブセキュリティベンダーのWatchfireによると、この欠陥はクロスサイトスクリプティングとして知られるもので、Googleが2つのエラーページ用のメカニズムで適切な安全対策をとっていなかったことが原因だという。Watchfireは、この問題に関する勧告をセキュリティ関連のメーリングリストで公開した。
Watchfireのセキュリティ調査ディレクターOry Segalによると、この欠陥を悪用されるとフィッシング詐欺を仕掛けられたり、別のユーザーになりすますことが可能になるという。フィッシングは、ユーザー名やパスワード、クレジットカードの詳細情報、社会保障番号といった機密情報をだまし取るために行われる。
「Googleサイトを見ると、ウェブアプリケーションのセキュリティがかなり優秀であることが分かる。だが、今回の分かりにくいクロスサイトスクリプティングに関しては対応を忘れていたようだ」(Segal)
Googleは、「少し前」に警告を受け、この欠陥を修正したことを認めた。Googleの関係者は電子メールで声明を出し、「危険にさらされたユーザーデータはなかった。脆弱性の開示に関して、業界のベストプラクティスに従ったWatchfireを高く評価する」と述べた。
Watchfireによると、禁止されたリダイレクトを行ったり、Googleサイトにないページを表示する際のエラーページ生成メカニズムに問題があったという。それにより、7ビットのUnicode Transformation Format(UTF-7)文字を使うことでこの脆弱性を悪用できる状態にあった。
ユーザーが悪質なリンクをクリックしたり、特別に作成されたウェブページにアクセスすると攻撃を仕掛けられるようになっていたとSegalは言う。「ブラウザにGoogleのエラーページが表示され、そのメッセージのリンクに悪質なJavaScriptコードが付いてくる」(Segal)。コードがGoogleから送信されてくるため、Googleのクッキーなどのデータにもアクセスが可能になると、同氏は説明している。
Watchfireによると、Googleはこの問題に関する警告を11月15日に受け、12月1日には文字エンコーディングを強化してこれを修正したという。Watchfireは勧告のなかで、今回の脆弱性に関するGoogleの対応を称賛している。
クロスサイトスクリプトの欠陥は定期的に見つかっている。今年はじめにも、Finjan SoftwareがGoogleのウェブサイトやMicrosoftのXbox 360ウェブサイトから同様のバグを見つけている。このような欠陥は、Yahooのウェブメールサービスでも見つかっている。
今年はほかにも、Googleの電子メールサービス「Gmail」で脆弱性が見つかり、修正されている。この脆弱性が悪用された場合、Gmailユーザーの受信箱が乗っ取れるおそれがあった。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス