JavaScriptを使って家庭や企業におけるネットワークの構成を把握し、接続されたサーバやプリンタ、ルータなどのデバイスを攻撃する方法を、セキュリティ研究者らが発見した。
こうした悪質なJavaScriptが埋め込まれたウェブページを一般のブラウザ上に表示すると、スクリプトが何の警告も表示しないまま実行されてしまうと、研究者らは述べる。また、これはユーザーのブラウザ上で動作するため、ファイアウォールなどのセキュリティ対策も回避するという。
ウェブセキュリティを専門にするSPI DynamicsのリードエンジニアBilly Hoffman氏は「われわれは、ネットワークをスキャンして見つかったすべてのウェブ対応デバイスを識別し、これらのデバイスに攻撃を仕掛けたり、コマンドを送信したりする技術を発見した。このテクニックを使えば、ファイアウォールで守られた企業のネットワークもスキャンできるようになる」と述べている。
この種の攻撃は、成功すれば、ネットワークに重大な影響を与える。たとえば、ホームネットワークをスキャンしてルータの機種を特定し、そこにワイヤレスネットワーキングを有効にするコマンドを送信して、暗号をすべて無効にすることができるとHoffman氏は語っている。あるいは、企業ネットワークの構成を把握して、サーバに攻撃を仕掛けることができるという。
ウェブアプリケーションのセキュリティを専門にするWhiteHat Securityの最高技術責任者(CTO)Jeremiah Grossman氏は、「いつも使っているブラウザが社内ネットワークのハッキングに利用される可能性がある」と述べている。同氏によると、SPI DynamicsとWhiteHat Securityは、JavaScriptベースのネットワークスキャニング技術をほぼ同時に開発したという。両社は、ネバダ州ラスベガスで開催中のBlack Hatセキュリティカンファレンスでこの発見について発表する予定。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス