編集部からのお知らせ
(記事集)ニューノーマルで伸びる業界
「ニューノーマルとIT」新着記事一覧

ウェブ閲覧者を攻撃者の手先に変えるツール--研究者が発表へ - (page 2)

文:Joris Evers(CNET News.com) 翻訳校正:編集部

2007-03-22 12:41

 Hoffman氏は「攻撃の半分は、情報を入手して整理するという作業である。その情報収集を、大勢の人に分散させて行えるようになった」と説明する。さらに、Jiktoが設置されたページにたまたまアクセスした無防備なウェブ閲覧者によって脆弱性探しが実行されるため、標的にされたサイト側は攻撃者を特定できない。

 脆弱性発見にセキュリティコミュニティーで広く用いられているツール「Nmap Security Scanner」の開発者Fyodor Vaskovich氏は、JiktoはJavaScript悪用法の興味深い例であるが、従来の脆弱性検出ツールの方が効果的だろうと説明する。

 同氏は「このようなJavaScriptによる攻撃は、侵入しておいたマシンから脆弱性を探すのに比べて、実行速度が非常に遅いのが普通である。攻撃者の秘匿や脆弱性検出作業の分散は有効だが、実際には、攻撃者は大抵の場合、かなり広い範囲での脆弱性探しが罰せられずに可能であり、単に多段プロクシを使うだけの場合もある」と述べた。

 ウェブで広く利用されているスクリプト言語JavaScriptで書かれているため、Jiktoはほとんどのブラウザで警告を出すことなく実行されるだろう。このツールが仕込まれたウェブサイトにアクセスしたインターネットユーザーは、何が起こったかを知ることさえないかもしれない。ブラウザを開いている間だけ実行され、明らかな痕跡や後遺症を残すことなく消えてしまう。

 その点でJiktoは、攻撃者がPCのコントロールを奪うための一般的な手段であるボットとは異なる。ボットは普通、ウェブブラウザのセキュリティホールを利用したり、トロイの木馬を添付した電子メールを使ったりしてPCに侵入する。ボットの侵入は、最新パッチの当たったブラウザ、電子メールの適切な運用、セキュリティソフトウェアのアップデートなどで防げる場合が多い。

 Hoffman氏は「JiktoなどのJavaScriptを利用した脅威に対して、ユーザーができることは限られている。トロイの木馬が送りつけられたり、古典的なバックドアが仕掛けられたりするわけではない。実際、コンピュータへは侵入しないのである。それが恐ろしい点だ。アンチウイルスは役に立たないだろう」と述べた。

 JavaScriptは、ウェブサイトの限界を押し広げることで反響を呼んでいるWeb 2.0のムーブメントで大きな役割を担っている。しかし、悪意あるJavaScriptは、特に一般化しつつあるウェブサイトのセキュリティホールと組み合わされた場合、潜行性のウェブベースの攻撃につながる可能性がある、とセキュリティ専門家は述べている。

 現在、Jiktoで可能なのは巡回と脆弱性の検知のみだ。Hoffman氏は、次バージョンで脆弱性の悪用とデータの抽出を考えている。同バージョンは、ラスベガスで夏に開催のセキュリティカンファレンス「Black Hat」で公開される予定だ、と同氏は述べた。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 運用管理

    ファイルサーバ管理のコツはここにあり!「無法状態」から脱出するプロセスを徹底解説

  2. クラウドコンピューティング

    社員の生産性を約2倍まで向上、注目の企業事例から学ぶDX成功のポイント

  3. コミュニケーション

    真の顧客理解でCX向上を実現、いまさら聞けない「データドリブンマーケティング」入門

  4. ビジネスアプリケーション

    デメリットも把握しなければテレワークは失敗に?─LIXIL等に学ぶ導入ステップや運用のコツ

  5. 運用管理

    ニューノーマルな働き方を支えるセキュリティ-曖昧になる境界に変わらなくてはならないデータセンター運用

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]