(米国マサチューセッツ州ウォルサム 2 月 21日(現地時間)発表)
米国ウォッチファイア社(本社:マサチューセッツ州ウォルサム、社長兼CEO:ピーター・マッケイ、以下ウォッチファイア)はこのほど、機密データへの
アクセスや最悪の場合システムを完全支配される可能性のある、Google Desktopの脆弱性を指摘しました。
ウォッチファイアのセキュリティ研究者が、デスクトップ・アプリケーションとWebベース・アプリケーションとの統合の危険性を明白にする新しい攻撃手法を発見しました。悪意のある攻撃者がこの攻撃手法を用いた場合、これらのアプリケーションの統合の隙間を悪用し、Web環境からデスクトップ・アプリケーション環境へと侵入して自分の特権を昇格させることが可能になります。Google.comのWebサイトとGoogle Desktopとが統合されている状況において、Google Desktopが悪質な、あるいは不測の文字を含む出力を適切にエンコードできないことが重なって起こるものです。
ウォッチファイアでは、この攻撃手法について新しい研究報告書を作成しました。悪質なロジックがパラサイトとして動作し、JavaScriptコードを使用してGoogle Desktopの機能を支配する仕組みで、攻撃者によってウイルス対策ソフトウェアやファイアウォールなど既存の情報保護システムをすり抜けられ、ローカルの機密情報を密かにハイジャックされる可能性があります(たとえば、Microsoft Office文書、Mediaファイル、電子メール、さらには削除した電子メール、チャットのセッションやファイルまでもアクセス可能な場合が多く見られます)。
この報告書において、攻撃の方法論、基本的な技術や理論上の結果についての説明などを提示しました。さらに、Google Desktopや他の多くのWebベース・アプリケーションに適した修正策も提案しています。Googleはこれに対応して、攻撃の当面のリスクを緩和する修正プログラムを発行しました。
ウォッチファイアの創設者でありCTOであるマイケル・ワイダー(MichaelWeider)は次のように述べています。「アプリケーションのセキュリティ上の脆弱性は深刻に受け止める必要があります。Webをインタフェースとしてデスクトップ・アプリケーションを狙ったクロスサイト・スクリプティング攻撃がもたらす損害は膨大であるため、Webアプリケーションのセキュリティを総合的に評価し、継続的に監視する必要があります。Googleなど業界をリードする各企業はセキュリティを着実に強化していますが、アプリケーションの動的な性質から、脆弱性が表面化する場合があります。」
この攻撃および推奨される修正策の詳細については以下のWebサイトでご覧いただけます。
(リンク »)
(英語)
Google Desktopに対する攻撃のデモは以下のWebサイトでご覧いただけます。
(リンク »)
(英語)
■ウォッチファイアについて
ウォッチファイアは、企業や政府機関など膨大な情報を抱えるWebサイトのセキュリティやコンプライアンスに関するリスクを早期に発見し、信頼性の高いWebサイトを継続的に運用していくためのソフトウェアとサービスを開発・販売しています。現在AXA Financial, SunTrust, HSBCなどの金融機関や米国復員軍人援護局などの政府機関、VodafoneやDell などのIT企業をはじめとした世界の800を超える企業や政府機関が、Webサイトの信頼性向上のためにウォッチファイアのソリューションを利用しています。ウォッチファイアは1996年に設立され、米国マサチューセッツ州ウォルサムを本拠地として、IBM Global Services, PricewaterhouseCoopers, Sapient, Microsoft, Interwoven,WebTrends, EMC Documentum , Mercuryとのパートナーシップのもと、米国、カナダ、イスラエル、シンガポール、アイルランド、日本の各拠点で活動しています。日本法人は2005年に設立されました。ウォッチファイアに関する詳細は、 (リンク ») でもご参照いただけます。
本資料は、米国にて2月21日(現地時間)に発表されたプレスリリースの抄訳です。原文は以下のURLでご覧いただけます。
[ (リンク ») ]
■本件に関する一般のお客様からのお問合せ先
ウォッチファイア・ジャパン株式会社 雨宮
TEL: 03-5789-5962 FAX: 03-5789-5757
japansales@watchfire.com
■本件に関する報道関係者からのお問合せ先
ウォッチファイア・ジャパン株式会社 広報担当 池田/田中
(株式会社プラスワン・コミュニケーションズ内)
TEL: 03-3443-1007 FAX: 03-3443-1008
contact@plusonecomm.co.jp
ウォッチファイア・ジャパン のプレスリリース
ウォッチファイア・ジャパン の関連情報
-
サイト脆弱性をチェックしよう!--第2回:“正しい”ウェブアプリのコーディングとは
今回の内容はサイトの脆弱性をチェックするより前の段階の話である。チェックはあくまで「確認」であり、設計やコーディングが正しく行われて初めて実行する意味がある。 - サイト脆弱性をチェックしよう!--第1回:ウェブアプリケーションに潜む危険
- ウォッチファイア、 ウェブアプリ脆弱性検査ソフトの試用ダウンロード提供開始
- Google Desktopの穴も見つけたウォッチファイア、ぜい弱性検査ソフト最新版を発表
- 国立情報学研究所、ウォッチファイアのウェブアプリ脆弱性検査ツールを採用
- ウォッチファイア・ジャパン
- ウォッチファイア・ジャパン の記事一覧へ »
御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。
ZDNet Japan Essential Topic
-
【今注目のIT企業は何を考える…??】
オススメIT系求人情報も毎週月曜日更新! -
コラボレーション基盤特集
Notes置換とバージョンアップの情報はこちら
企画特集
-
ZDNet Japan ホスティング特集
2008年夏のホスティングサービスのトレンドは何? -
サーバ仮想化・グリーン化の利点を最大化!
そ多機能・高価値なNetAppストレージの秘密とは -
ログ管理ソリューション特集
セキュリティ、コンプライアンス対策で注目度アップ! -
Webセキュリティ特集
Web2.0時代の脅威へ対抗するためのソリューションとは? -
ZDNet Japan Green IT
サミットだけでは終わらせない!エンタープライズの取り組みはこれからだ! -
セキュリティ対策レベルテスト公開!
自社のセキュリティのウイークポイントはドコ? -
APC SOLUTIONS FORUM 2008をレポート
電源、冷却の効率化によるエネルギー削減とは? -
「シンプル」&「低コスト」な運用管理
IT運用管理に関するアンケート実施中! -
Techno Exchange
RackableとCTCの地球にやさしい関係 -
IronPort Sシリーズ
Webからの脅威に関する課題の3つの解決方法 -
Secure Web
Web2.0時代にプロアクティブなセキュリティを実現!! -
【ログ管理】Logstorage、SecureEagle/SIM
内部統制のためのソリューションを紹介!
ZDNet Japan イベント
- 開催日:2008年9月29日(月)
- イベント一覧へ»
