ウェブアプリ用脆弱性検出ツール--セキュリティ研究者がハッカーイベントでデモ

文:Joris Evers(CNET News.com) 翻訳校正:編集部

2007-03-26 18:48

 ワシントンD.C.発--ハッカーやセキュリティ関係者のカンファレンスShmooCon 2007で米国時間3月24日、あるセキュリティ研究者が、ウェブ閲覧者らを彼らが気付かぬ間に攻撃者の手先に変えてしまうツールのデモを行った。ただ、同ツールの公開は見送った。

 ウェブセキュリティ会社SPI Dynamicsの研究者であるBilly Hoffman氏は、「Jikto」と呼ばれるJavaScriptで記述されたウェブアプリケーション用の脆弱性検出ソフトウェアのデモを行った。Hoffman氏によると、このJiktoを利用することにより、何も知らないウェブ閲覧者のPCに、ウェブサイトを密かに巡回、監視させ、その結果を第三者に送信させることが可能だという。

 しかし、Hoffman氏は、当初の予定を変更し、Jiktoを公開しなかった。Hoffman氏はデモの後、「当初、上司らはJiktoを公開できるとしていたが、その後彼らの気が変わった」と述べ、さらに「われわれは、啓蒙的なメッセージを発することを重視し、人々に危険を示すことにした」と語った。

 またSPI Dynamicsの別の関係者はShmooConで、Jiktoの公開を見送った理由について、サイバー詐欺師らに利用される恐れがあるため、と説明した。SPI DynamicsのセキュリティエバンジェリストであるMichael Sutton氏は、「われわれは、悪意ある目的に利用される恐れのあるものを公開したくはない」と語った。SPI Dynamicsはウェブセキュリティツールを販売している。

 Hoffman氏はJiktoのデモを行った目的について、(セキュリティに対する)人々の意識を高めるため、と語った。同氏によると、ユーザーを深刻な危険にさらす悪意あるJavaScriptコードを仕組むためにウェブサイトの脆弱性が利用される可能性があるという。例えば、Jikto自体も、クロスサイトスクリプティングと呼ばれる一般的なウェブセキュリティホールを利用することにより、信用あるサイトへの埋め込みが可能だという。

 「クロスサイトスクリプティングがいかに恐ろしい欠陥であるかを示すことが(デモの)最大の目的だった」とHoffman氏は語る。セキュリティ業界の中には、クロスサイトスクリプティングは軽微な問題だと主張する者もいるが、Hoffman氏は、クロスサイトスクリプティングが、特にJavaScriptと組み合わさることにより、深刻な欠陥となる可能性があることを実証した。同氏は「これはコードが実行される脆弱性だ」と述べ、さらに「JavaScriptはセキュリティモデルを完全に破壊する」と付け加えた。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したも のです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]