JavaScriptを悪用した攻撃手法--セキュリティ研究者らが発見

　JavaScriptを使って家庭や企業におけるネットワークの構成を把握し、接続されたサーバやプリンタ、ルータなどのデバイスを攻撃する方法を、セキュリティ研究者らが発見した。

　こうした悪質なJavaScriptが埋め込まれたウェブページを一般のブラウザ上に表示すると、スクリプトが何の警告も表示しないまま実行されてしまうと、研究者らは述べる。また、これはユーザーのブラウザ上で動作するため、ファイアウォールなどのセキュリティ対策も回避するという。

　ウェブセキュリティを専門にするSPI DynamicsのリードエンジニアBilly Hoffman氏は「われわれは、ネットワークをスキャンして見つかったすべてのウェブ対応デバイスを識別し、これらのデバイスに攻撃を仕掛けたり、コマンドを送信したりする技術を発見した。このテクニックを使えば、ファイアウォールで守られた企業のネットワークもスキャンできるようになる」と述べている。

　この種の攻撃は、成功すれば、ネットワークに重大な影響を与える。たとえば、ホームネットワークをスキャンしてルータの機種を特定し、そこにワイヤレスネットワーキングを有効にするコマンドを送信して、暗号をすべて無効にすることができるとHoffman氏は語っている。あるいは、企業ネットワークの構成を把握して、サーバに攻撃を仕掛けることができるという。

　ウェブアプリケーションのセキュリティを専門にするWhiteHat Securityの最高技術責任者（CTO）Jeremiah Grossman氏は、「いつも使っているブラウザが社内ネットワークのハッキングに利用される可能性がある」と述べている。同氏によると、SPI DynamicsとWhiteHat Securityは、JavaScriptベースのネットワークスキャニング技術をほぼ同時に開発したという。両社は、ネバダ州ラスベガスで開催中のBlack Hatセキュリティカンファレンスでこの発見について発表する予定。