ZDNet Japan Brand Site:
ZDNet Japan
builder

ウェブ閲覧者を攻撃者の手先に変えるツール--研究者が発表へ

無防備なウェブ閲覧者のPCを乗っ取ることなく利用するためのツールをセキュリティ研究者が開発した。このJavaScriptで書かれたツールはJiktoと呼ばれ、ウェブサイトの脆弱性情報の収集に使われる。

文:Joris Evers(CNET News.com)
翻訳校正:編集部  2007年3月22日 12時41分

 無防備なウェブ閲覧者のPCを乗っ取ることなく利用する方法を、セキュリティ研究者が明らかにした。

 これは「Jikto」と呼ばれるセキュリティツールを使うことで実現可能となる。Jiktoの開発者でウェブセキュリティ会社SPI Dynamicsの研究者Billy Hoffman氏によると、このツールはJavaScriptで書かれており、何も知らないウェブ閲覧者のPCにウェブサイトの脆弱性情報を収集させることができる。ウェブセキュリティ向上のためにJiktoを開発した同氏は今週後半、ワシントンD.C.で開催されるハッカーイベントShmooConでこのツールを公開する予定である。

 Hoffman氏は「このツールはJavaScript悪用の影響範囲を劇的に変えるだろう。JiktoはあらゆるPCをかわいいドローンに変える。あなたのPCがウェブサイトを攻撃し始め、その成果はすべて私に差し出される」と述べた。

 オンラインアプリケーションの登場により、攻撃者はウェブセキュリティ攻略への興味を増しているようだ。クロスサイトスクリプティングやSQLインジェクションなどの脆弱性は何年も前から知られているが、こうした脆弱性に関する報告や悪用はますます増加している。

 Jiktoはウェブアプリケーション用の脆弱性検出ソフトである。Hoffman氏によると、公開されているウェブサイトを密かに巡回して脆弱性を探し、第三者に結果を送信するという。同氏は、攻撃者がJiktoを自分のウェブサイトに設置したり、クロスサイトスクリプティングと呼ばれる一般的なウェブセキュリティホールを悪用して信用のあるサイトに埋め込んだりできると述べた。

 脆弱性検出ソフトそれ自体は新しいものではない。攻撃者がそのようなツールを利用してシステム侵入に利用可能なセキュリティホールを探すのはよくあることである。Jiktoは、攻撃者の間で人気のあるNiktoというウェブアプリケーション用バグ検出ソフトに似ている。両者の違いは、Niktoが通常のPC用アプリケーションであるのに対し、Jiktoはウェブブラウザで実行するウェブアプリであり、バグ検出作業を複数のPCに分散させて実行するところである。

 Hoffman氏によると、Jiktoは多数の一般的なセキュリティホールを検出可能で、設置者がツールにアクセスして検出対象のウェブサイトやセキュリティホールの種類を設定することもできるという。例えば、大手オンラインバンキングサイトを対象にSQLインジェクションを探す、といった指定が可能である。Jiktoで検出可能な脆弱性には深刻なものもあり、データベースが攻撃にさらされる危険がある。

キーショートカット:  b - 前のページ n - 次のページ

「セキュリティ」 のバックナンバー

http://japan.zdnet.com/news/sec/story/0,2000056194,20345550,00.htm
ウェブ閲覧者を攻撃者の手先に変えるツール--研究者が発表へ

ZDNet Japan Essential Topic

ZDNet Japanからのお知らせ

Intel Video Series

sponsored by Intel
  • 11. Lock分析とWait分析
    この3分間のビデオでは、アプリケーションのクリティカルセクションを分...
  • 12. 高度な診断
    この3分間のビデオでは、Intel parallel Composerが、Intel C++コンパイ...

新着企業動向

ZDNet Japan ニューズレター

企業情報システムの選択、導入、運用管理に役立つ情報を毎朝メール配信します。

ニューズレターの登録・登録情報変更 »