無防備なウェブ閲覧者のPCを乗っ取ることなく利用する方法を、セキュリティ研究者が明らかにした。
これは「Jikto」と呼ばれるセキュリティツールを使うことで実現可能となる。Jiktoの開発者でウェブセキュリティ会社SPI Dynamicsの研究者Billy Hoffman氏によると、このツールはJavaScriptで書かれており、何も知らないウェブ閲覧者のPCにウェブサイトの脆弱性情報を収集させることができる。ウェブセキュリティ向上のためにJiktoを開発した同氏は今週後半、ワシントンD.C.で開催されるハッカーイベントShmooConでこのツールを公開する予定である。
Hoffman氏は「このツールはJavaScript悪用の影響範囲を劇的に変えるだろう。JiktoはあらゆるPCをかわいいドローンに変える。あなたのPCがウェブサイトを攻撃し始め、その成果はすべて私に差し出される」と述べた。
オンラインアプリケーションの登場により、攻撃者はウェブセキュリティ攻略への興味を増しているようだ。クロスサイトスクリプティングやSQLインジェクションなどの脆弱性は何年も前から知られているが、こうした脆弱性に関する報告や悪用はますます増加している。
Jiktoはウェブアプリケーション用の脆弱性検出ソフトである。Hoffman氏によると、公開されているウェブサイトを密かに巡回して脆弱性を探し、第三者に結果を送信するという。同氏は、攻撃者がJiktoを自分のウェブサイトに設置したり、クロスサイトスクリプティングと呼ばれる一般的なウェブセキュリティホールを悪用して信用のあるサイトに埋め込んだりできると述べた。
脆弱性検出ソフトそれ自体は新しいものではない。攻撃者がそのようなツールを利用してシステム侵入に利用可能なセキュリティホールを探すのはよくあることである。Jiktoは、攻撃者の間で人気のあるNiktoというウェブアプリケーション用バグ検出ソフトに似ている。両者の違いは、Niktoが通常のPC用アプリケーションであるのに対し、Jiktoはウェブブラウザで実行するウェブアプリであり、バグ検出作業を複数のPCに分散させて実行するところである。
Hoffman氏によると、Jiktoは多数の一般的なセキュリティホールを検出可能で、設置者がツールにアクセスして検出対象のウェブサイトやセキュリティホールの種類を設定することもできるという。例えば、大手オンラインバンキングサイトを対象にSQLインジェクションを探す、といった指定が可能である。Jiktoで検出可能な脆弱性には深刻なものもあり、データベースが攻撃にさらされる危険がある。