ウェブ閲覧者を攻撃者の手先に変えるツール--研究者が発表へ

文:Joris Evers(CNET News.com) 翻訳校正:編集部 2007年03月22日 12時41分

  • このエントリーをはてなブックマークに追加

 無防備なウェブ閲覧者のPCを乗っ取ることなく利用する方法を、セキュリティ研究者が明らかにした。

 これは「Jikto」と呼ばれるセキュリティツールを使うことで実現可能となる。Jiktoの開発者でウェブセキュリティ会社SPI Dynamicsの研究者Billy Hoffman氏によると、このツールはJavaScriptで書かれており、何も知らないウェブ閲覧者のPCにウェブサイトの脆弱性情報を収集させることができる。ウェブセキュリティ向上のためにJiktoを開発した同氏は今週後半、ワシントンD.C.で開催されるハッカーイベントShmooConでこのツールを公開する予定である。

 Hoffman氏は「このツールはJavaScript悪用の影響範囲を劇的に変えるだろう。JiktoはあらゆるPCをかわいいドローンに変える。あなたのPCがウェブサイトを攻撃し始め、その成果はすべて私に差し出される」と述べた。

 オンラインアプリケーションの登場により、攻撃者はウェブセキュリティ攻略への興味を増しているようだ。クロスサイトスクリプティングやSQLインジェクションなどの脆弱性は何年も前から知られているが、こうした脆弱性に関する報告や悪用はますます増加している。

 Jiktoはウェブアプリケーション用の脆弱性検出ソフトである。Hoffman氏によると、公開されているウェブサイトを密かに巡回して脆弱性を探し、第三者に結果を送信するという。同氏は、攻撃者がJiktoを自分のウェブサイトに設置したり、クロスサイトスクリプティングと呼ばれる一般的なウェブセキュリティホールを悪用して信用のあるサイトに埋め込んだりできると述べた。

 脆弱性検出ソフトそれ自体は新しいものではない。攻撃者がそのようなツールを利用してシステム侵入に利用可能なセキュリティホールを探すのはよくあることである。Jiktoは、攻撃者の間で人気のあるNiktoというウェブアプリケーション用バグ検出ソフトに似ている。両者の違いは、Niktoが通常のPC用アプリケーションであるのに対し、Jiktoはウェブブラウザで実行するウェブアプリであり、バグ検出作業を複数のPCに分散させて実行するところである。

 Hoffman氏によると、Jiktoは多数の一般的なセキュリティホールを検出可能で、設置者がツールにアクセスして検出対象のウェブサイトやセキュリティホールの種類を設定することもできるという。例えば、大手オンラインバンキングサイトを対象にSQLインジェクションを探す、といった指定が可能である。Jiktoで検出可能な脆弱性には深刻なものもあり、データベースが攻撃にさらされる危険がある。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?