編集部からのお知らせ
Pick up! ローコード開発の行方
「これからの企業IT」の記事はこちら

jQuery.com、ハッキング被害に--サイトが改ざんされるも「ライブラリは無事」と強調

Larry Seltzer (ZDNet.com) 翻訳校正: 編集部

2014-09-25 12:56

 セキュリティ関係の調査企業であるRiskIQは、jQuery.comに対するドライブバイダウンロード攻撃を米国時間9月18日に検出したと発表した。一体何が起こったのだろうか?

 jQueryは24日、Twitterと自らのブログで攻撃を確認したことを発表した。同ツイートには「http://jquery.comにおいて新たなセキュリティ侵害を検出し、攻撃の影響を最小限に抑えるための行動を取っているところだ。後ほどさらなる情報を提供する」と記されている。

 jQueryはこのツイートの後のブログ投稿で、同サイトに対するセキュリティ侵害が検出されたことを認めたが、サイトのコンテンツを書き換える目的しか持っていなかったと述べた。jQueryによると、jQuery.comにアクセスした人々に対するマルウェアのインジェクション攻撃がなされた形跡は今のところないという。

 またjQueryは、アカウントを用いて同サイトにアクセスするのはjQueryチームのメンバーのみであるため、同サイトにアクセスしたその他の人々がアカウント侵害の被害にあうことはあり得ないと強調している。


インターネットでのjQuery採用状況
提供:jQuery.com

 jQuery.comの人々は、断言こそできないものの、JavaScriptライブラリであるjQueryは実際のところ影響を受けていないと主張しており、RiskIQもその主張に同意している。jQueryはインターネット上で驚くほど広く利用されているため、これは良い知らせだ。jQuery.comによると、インターネットを利用している人は誰でもjQueryを使用しており、上位1万サイトのほぼ70%がjQueryを採用している。jQueryは、ウェブサービスへのアクセスや、ユーザーインターフェースの構築といった複雑な処理を簡素化するための、JavaScriptで記述されたツールのライブラリだ。

 しかしjQuery.comには、開発者やIT管理者が数多くアクセスするため、同サイトに対するセキュリティ侵害は重大だ。RiskIQは、今回の攻撃がRIG Exploit Kitを使用して訪問者を標的にするものであり、「jQuery.comのユーザーが実際にこのエクスプロイトキットによってリダイレクトされたということについては、複数の大規模組織の情報筋から確認することができた」と主張している。このような人々に対する攻撃が成功すれば、彼らの属する組織の攻撃につながるおそれもある。

 jQueryはRiskIQの支援を受け、セキュリティ侵害の証拠を見つけようとしたが、見つけられていないと前日までは述べ、ブログに太字で、「ホストしているjQueryライブラリはまったく影響を受けていない」と記していた。jQueryはその後の24日、同サイトのセキュリティ侵害を発見し、その件について発表したが、同サイトの訪問者に対する攻撃の証拠は今のところ見つかっていないという。

 SANS InstituteのInternet Storm Centerはこうしたライブラリの使用について解説し、コードをダウンロードして完全にホスティングする以外に、jQuery.comとそのコンテンツ配信ネットワーク(CDN)でホスティングすることも可能であることを紹介し、それぞれの長所と短所を解説している。

 その中で、jQuery.comにコードをホスティングすると、パフォーマンスや自動アップデートに期待できるものの、サードパーティーサイトへの不正侵入があれば、自分のサイトも危険にさらされると指摘している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    社員の生産性を約2倍まで向上、注目の企業事例から学ぶDX成功のポイント

  2. コミュニケーション

    真の顧客理解でCX向上を実現、いまさら聞けない「データドリブンマーケティング」入門

  3. クラウドコンピューティング

    家庭向けIoT製品の普及とともに拡大するセキュリティとプライバシー問題─解決策を知ろう

  4. クラウドコンピューティング

    クラウドの障害対策を徹底解説!4つの方法とメリット、デメリット

  5. セキュリティ

    サイバー犯罪の標的となるMicrosoft製品、2019年に悪用された脆弱性リストからの考察

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]