ウォッチファイア、Google Desktopの脆弱性を指摘

~ デスクトップ環境とWebアプリケーションの相互連携に基づく次世代のコンピュータ脆弱性 ~

ウォッチファイア・ジャパン株式会社 2007年02月23日

(米国マサチューセッツ州ウォルサム 2 月 21日(現地時間)発表)

米国ウォッチファイア社(本社:マサチューセッツ州ウォルサム、社長兼CEO:ピーター・マッケイ、以下ウォッチファイア)はこのほど、機密データへの
アクセスや最悪の場合システムを完全支配される可能性のある、Google Desktopの脆弱性を指摘しました。

ウォッチファイアのセキュリティ研究者が、デスクトップ・アプリケーションとWebベース・アプリケーションとの統合の危険性を明白にする新しい攻撃手法を発見しました。悪意のある攻撃者がこの攻撃手法を用いた場合、これらのアプリケーションの統合の隙間を悪用し、Web環境からデスクトップ・アプリケーション環境へと侵入して自分の特権を昇格させることが可能になります。Google.comのWebサイトとGoogle Desktopとが統合されている状況において、Google Desktopが悪質な、あるいは不測の文字を含む出力を適切にエンコードできないことが重なって起こるものです。

ウォッチファイアでは、この攻撃手法について新しい研究報告書を作成しました。悪質なロジックがパラサイトとして動作し、JavaScriptコードを使用してGoogle Desktopの機能を支配する仕組みで、攻撃者によってウイルス対策ソフトウェアやファイアウォールなど既存の情報保護システムをすり抜けられ、ローカルの機密情報を密かにハイジャックされる可能性があります(たとえば、Microsoft Office文書、Mediaファイル、電子メール、さらには削除した電子メール、チャットのセッションやファイルまでもアクセス可能な場合が多く見られます)。

この報告書において、攻撃の方法論、基本的な技術や理論上の結果についての説明などを提示しました。さらに、Google Desktopや他の多くのWebベース・アプリケーションに適した修正策も提案しています。Googleはこれに対応して、攻撃の当面のリスクを緩和する修正プログラムを発行しました。

ウォッチファイアの創設者でありCTOであるマイケル・ワイダー(MichaelWeider)は次のように述べています。「アプリケーションのセキュリティ上の脆弱性は深刻に受け止める必要があります。Webをインタフェースとしてデスクトップ・アプリケーションを狙ったクロスサイト・スクリプティング攻撃がもたらす損害は膨大であるため、Webアプリケーションのセキュリティを総合的に評価し、継続的に監視する必要があります。Googleなど業界をリードする各企業はセキュリティを着実に強化していますが、アプリケーションの動的な性質から、脆弱性が表面化する場合があります。」

この攻撃および推奨される修正策の詳細については以下のWebサイトでご覧いただけます。
(リンク »)
(英語)

Google Desktopに対する攻撃のデモは以下のWebサイトでご覧いただけます。
(リンク »)
(英語)

■ウォッチファイアについて
ウォッチファイアは、企業や政府機関など膨大な情報を抱えるWebサイトのセキュリティやコンプライアンスに関するリスクを早期に発見し、信頼性の高いWebサイトを継続的に運用していくためのソフトウェアとサービスを開発・販売しています。現在AXA Financial, SunTrust, HSBCなどの金融機関や米国復員軍人援護局などの政府機関、VodafoneやDell などのIT企業をはじめとした世界の800を超える企業や政府機関が、Webサイトの信頼性向上のためにウォッチファイアのソリューションを利用しています。ウォッチファイアは1996年に設立され、米国マサチューセッツ州ウォルサムを本拠地として、IBM Global Services, PricewaterhouseCoopers, Sapient, Microsoft, Interwoven,WebTrends, EMC Documentum , Mercuryとのパートナーシップのもと、米国、カナダ、イスラエル、シンガポール、アイルランド、日本の各拠点で活動しています。日本法人は2005年に設立されました。ウォッチファイアに関する詳細は、 (リンク ») でもご参照いただけます。

本資料は、米国にて2月21日(現地時間)に発表されたプレスリリースの抄訳です。原文は以下のURLでご覧いただけます。
[  (リンク ») ]

■本件に関する一般のお客様からのお問合せ先
ウォッチファイア・ジャパン株式会社 雨宮
TEL: 03-5789-5962 FAX: 03-5789-5757
japansales@watchfire.com

■本件に関する報道関係者からのお問合せ先
ウォッチファイア・ジャパン株式会社 広報担当 池田/田中
(株式会社プラスワン・コミュニケーションズ内)
TEL: 03-3443-1007 FAX: 03-3443-1008
contact@plusonecomm.co.jp

関連情報へのリンク »

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

SpecialPR

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!