ウェブアプリ用脆弱性検出ツール--セキュリティ研究者がハッカーイベントでデモ

文:Joris Evers(CNET News.com) 翻訳校正:編集部2007年03月26日 18時48分
  • このエントリーをはてなブックマークに追加

 ワシントンD.C.発--ハッカーやセキュリティ関係者のカンファレンスShmooCon 2007で米国時間3月24日、あるセキュリティ研究者が、ウェブ閲覧者らを彼らが気付かぬ間に攻撃者の手先に変えてしまうツールのデモを行った。ただ、同ツールの公開は見送った。

 ウェブセキュリティ会社SPI Dynamicsの研究者であるBilly Hoffman氏は、「Jikto」と呼ばれるJavaScriptで記述されたウェブアプリケーション用の脆弱性検出ソフトウェアのデモを行った。Hoffman氏によると、このJiktoを利用することにより、何も知らないウェブ閲覧者のPCに、ウェブサイトを密かに巡回、監視させ、その結果を第三者に送信させることが可能だという。

 しかし、Hoffman氏は、当初の予定を変更し、Jiktoを公開しなかった。Hoffman氏はデモの後、「当初、上司らはJiktoを公開できるとしていたが、その後彼らの気が変わった」と述べ、さらに「われわれは、啓蒙的なメッセージを発することを重視し、人々に危険を示すことにした」と語った。

 またSPI Dynamicsの別の関係者はShmooConで、Jiktoの公開を見送った理由について、サイバー詐欺師らに利用される恐れがあるため、と説明した。SPI DynamicsのセキュリティエバンジェリストであるMichael Sutton氏は、「われわれは、悪意ある目的に利用される恐れのあるものを公開したくはない」と語った。SPI Dynamicsはウェブセキュリティツールを販売している。

 Hoffman氏はJiktoのデモを行った目的について、(セキュリティに対する)人々の意識を高めるため、と語った。同氏によると、ユーザーを深刻な危険にさらす悪意あるJavaScriptコードを仕組むためにウェブサイトの脆弱性が利用される可能性があるという。例えば、Jikto自体も、クロスサイトスクリプティングと呼ばれる一般的なウェブセキュリティホールを利用することにより、信用あるサイトへの埋め込みが可能だという。

 「クロスサイトスクリプティングがいかに恐ろしい欠陥であるかを示すことが(デモの)最大の目的だった」とHoffman氏は語る。セキュリティ業界の中には、クロスサイトスクリプティングは軽微な問題だと主張する者もいるが、Hoffman氏は、クロスサイトスクリプティングが、特にJavaScriptと組み合わさることにより、深刻な欠陥となる可能性があることを実証した。同氏は「これはコードが実行される脆弱性だ」と述べ、さらに「JavaScriptはセキュリティモデルを完全に破壊する」と付け加えた。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したも のです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加