ウェブベースのアプリケーションの落とし穴--Google Desktop攻撃の手法が公開に

文:Robert Vamosi(CNET News.com) 翻訳校正:編集部 2007年06月05日 12時12分

  • このエントリーをはてなブックマークに追加

 セキュリティ研究者のRobert Hansen氏(別名:RSnake)が、「Google Desktop」に対する新しい攻撃の詳細を明らかにした。Hansen氏が発見したこの脆弱性は、マン・イン・ザ・ミドル攻撃(中間者攻撃)で、Googleと、デスクトップ検索クエリの実行者の間に攻撃者が介入する。その攻撃者はGoogleと実行者の間から検索結果を操作することができ、デスクトップ上にある別のプログラムを乗っ取る可能性がある。

 攻撃の流れは次のようなものになる。Google Desktopのユーザーが検索を実行すると、これに攻撃者が妨害する。そして、ターゲットのURLページ上に見えないiframeを作成するJavascriptを挿入し、このiframeにユーザーのマウスを追跡させる。ユーザーはこれに気付かない。攻撃者はそれから、別の検索クエリを仕掛けるためのコードをユーザーのマウスを追跡しているiframe内に追加する。このクエリが実行されると、攻撃者が「meta-refresh」を使ってページを強制的に再読み込みさせることで、攻撃者が望むインデックス化されたほぼあらゆるアプリケーションをGoogle Desktopに強制的にロードさせることができる。そして、ユーザーが悪意を持ったGoogle Desktopのクエリを実行すると悪質なプログラムが実行される。

 Hansen氏は、Googleのサイトは暗号化されておらず、攻撃者によって破壊されてしまう可能性があるため、「デスクトップとウェブの密接な統合がアイデアとしてあまり良くないということを痛感させる」と書いている。しかし、Hansen氏によると、この攻撃には、次の2つが必要になるという。1つ目は、Google Desktopがインストールされている必要があること。2つ目は中間者攻撃を仕掛けられるだけ攻撃者が高度な技術を持ち合わせている必要があることだ。

 Hansen氏は、攻撃を詳しく説明するためデモビデオをオンラインで公開している。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?