JavaScriptを悪用した攻撃手法--セキュリティ研究者らが発見

文:Joris Evers(CNET News.com) 翻訳校正:尾本香里(編集部)2006年07月31日 11時21分

 JavaScriptを使って家庭や企業におけるネットワークの構成を把握し、接続されたサーバやプリンタ、ルータなどのデバイスを攻撃する方法を、セキュリティ研究者らが発見した。

 こうした悪質なJavaScriptが埋め込まれたウェブページを一般のブラウザ上に表示すると、スクリプトが何の警告も表示しないまま実行されてしまうと、研究者らは述べる。また、これはユーザーのブラウザ上で動作するため、ファイアウォールなどのセキュリティ対策も回避するという。

 ウェブセキュリティを専門にするSPI DynamicsのリードエンジニアBilly Hoffman氏は「われわれは、ネットワークをスキャンして見つかったすべてのウェブ対応デバイスを識別し、これらのデバイスに攻撃を仕掛けたり、コマンドを送信したりする技術を発見した。このテクニックを使えば、ファイアウォールで守られた企業のネットワークもスキャンできるようになる」と述べている。

 この種の攻撃は、成功すれば、ネットワークに重大な影響を与える。たとえば、ホームネットワークをスキャンしてルータの機種を特定し、そこにワイヤレスネットワーキングを有効にするコマンドを送信して、暗号をすべて無効にすることができるとHoffman氏は語っている。あるいは、企業ネットワークの構成を把握して、サーバに攻撃を仕掛けることができるという。

 ウェブアプリケーションのセキュリティを専門にするWhiteHat Securityの最高技術責任者(CTO)Jeremiah Grossman氏は、「いつも使っているブラウザが社内ネットワークのハッキングに利用される可能性がある」と述べている。同氏によると、SPI DynamicsとWhiteHat Securityは、JavaScriptベースのネットワークスキャニング技術をほぼ同時に開発したという。両社は、ネバダ州ラスベガスで開催中のBlack Hatセキュリティカンファレンスでこの発見について発表する予定。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]