セキュリティ関係の調査企業であるRiskIQは、jQuery.comに対するドライブバイダウンロード攻撃を米国時間9月18日に検出したと発表した。一体何が起こったのだろうか?
jQueryは24日、Twitterと自らのブログで攻撃を確認したことを発表した。同ツイートには「http://jquery.comにおいて新たなセキュリティ侵害を検出し、攻撃の影響を最小限に抑えるための行動を取っているところだ。後ほどさらなる情報を提供する」と記されている。
jQueryはこのツイートの後のブログ投稿で、同サイトに対するセキュリティ侵害が検出されたことを認めたが、サイトのコンテンツを書き換える目的しか持っていなかったと述べた。jQueryによると、jQuery.comにアクセスした人々に対するマルウェアのインジェクション攻撃がなされた形跡は今のところないという。
またjQueryは、アカウントを用いて同サイトにアクセスするのはjQueryチームのメンバーのみであるため、同サイトにアクセスしたその他の人々がアカウント侵害の被害にあうことはあり得ないと強調している。
インターネットでのjQuery採用状況
提供:jQuery.com
jQuery.comの人々は、断言こそできないものの、JavaScriptライブラリであるjQueryは実際のところ影響を受けていないと主張しており、RiskIQもその主張に同意している。jQueryはインターネット上で驚くほど広く利用されているため、これは良い知らせだ。jQuery.comによると、インターネットを利用している人は誰でもjQueryを使用しており、上位1万サイトのほぼ70%がjQueryを採用している。jQueryは、ウェブサービスへのアクセスや、ユーザーインターフェースの構築といった複雑な処理を簡素化するための、JavaScriptで記述されたツールのライブラリだ。
しかしjQuery.comには、開発者やIT管理者が数多くアクセスするため、同サイトに対するセキュリティ侵害は重大だ。RiskIQは、今回の攻撃がRIG Exploit Kitを使用して訪問者を標的にするものであり、「jQuery.comのユーザーが実際にこのエクスプロイトキットによってリダイレクトされたということについては、複数の大規模組織の情報筋から確認することができた」と主張している。このような人々に対する攻撃が成功すれば、彼らの属する組織の攻撃につながるおそれもある。
jQueryはRiskIQの支援を受け、セキュリティ侵害の証拠を見つけようとしたが、見つけられていないと前日までは述べ、ブログに太字で、「ホストしているjQueryライブラリはまったく影響を受けていない」と記していた。jQueryはその後の24日、同サイトのセキュリティ侵害を発見し、その件について発表したが、同サイトの訪問者に対する攻撃の証拠は今のところ見つかっていないという。
SANS InstituteのInternet Storm Centerはこうしたライブラリの使用について解説し、コードをダウンロードして完全にホスティングする以外に、jQuery.comとそのコンテンツ配信ネットワーク(CDN)でホスティングすることも可能であることを紹介し、それぞれの長所と短所を解説している。
その中で、jQuery.comにコードをホスティングすると、パフォーマンスや自動アップデートに期待できるものの、サードパーティーサイトへの不正侵入があれば、自分のサイトも危険にさらされると指摘している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。