JavaScriptを悪用した攻撃手法--セキュリティ研究者らが発見 - (page 3)

文:Joris Evers(CNET News.com) 翻訳校正:尾本香里(編集部)2006年07月31日 11時21分

ホストからのPing

 このJavaScriptスキャナは、JavaScriptのImageオブジェクトを使ってpingを送信することにより、あるIPアドレスを持ったコンピュータの有無を判断する。そして、標準的な場所に保存されている画像ファイルや受信トラフィック、受信エラーメッセージを見て動作中のサーバの種類を判断すると、SPI Dynamicsの資料にはある。

 悪質なJavaScriptは攻撃者のサイトに置くこともできるが、クロスサイトスクリプティングとして一般に知られる脆弱性を悪用すれば、攻撃用のコードを一般のサイトに潜ませることもできる。これまでも、Google、Microsoft、eBayなどの大手ウェブ関連企業が、これらのセキュリティホール対策を迫られてきた。AOL傘下のNetscape.comも先週、NetscapeのウェブサイトにJavaScriptを埋め込むことを可能にしていた脆弱性を修正している。実際にこの脆弱性は悪用されており、犯人はライバルのDigg.comファンだと思われる。

 BlackHatでは、Grossman氏がある攻撃のデモを行う予定だ。同氏は、「われわれは、内部のIPアドレスを入手する方法、内部ネットワークをスキャンする方法、DSLルータを識別して侵入する方法をお見せする。ブラウザを使ってイントラネットを攻撃するため、ブラウザを完全にコントロールする様子を見せられる」と述べている。

 この攻撃に対し、PCユーザーはほとんど何の対策もとることができない。ユーザーとサーバの安全を確保するための負担は主にウェブサイトの開発者にかかってくると、専門家らは語っている。PC用セキュリティソフトウェアのなかには悪質なJavaScriptを検知するものもあるが、攻撃のパターンファイルに依存してこれを阻止する形を取るため、対応は攻撃が起こってからとなってしまう。

 「サーバ側で必要な対策をとることを推奨する」とGrossman氏は語っている。サイト運営者は、クロスサイトスクリプティングの脆弱性を修正し、すべてのJavaScriptをチェックする必要がある。「ユーザーは訪問するウェブサイトのなすがままになってしまうのが実状だ。ユーザーはJavaScriptを無効にすることもできるが、あまりに多くのウェブサイトがこれを利用しており、それでは本当の解決にならない」と同氏は語っている。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]