Internet Watch logo
記事検索
最新ニュース

Google、最初の指摘から2年後にクロスサイトスクリプティング脆弱性を修復


 GoogleのWebサイトをフィッシング詐欺に悪用出来るクロスサイトスクリプティング脆弱性が2年間放置された後に研究者のサイトの指摘によって昨日20日に一部修復されたことが明らかになった。

 これはコンピュータ研究者Jim Ley氏が発見した脆弱性で、悪用すればGoogleのWebサイトと思い込ませてクレジットカード番号などを入力させるフィッシング詐欺に利用できるというものだ。Jim Ley氏は自身のWebサイトでこの脆弱性を悪用可能であることを示す実験を行なって見せた。「Googleが月額5ドルの会員制サービスに移行することになり、今加入すれば生涯わずか10ドルで利用できる」という架空の詐欺を行なうためのページを作成。アドレスバーにはGoogleのURLが表示され、画面構成もデザインもGoogleのものに酷似しているため、容易にクレジットカード番号などの個人情報を入力してしまう可能性が存在することがわかる。

 このクロスサイトスクリプティングに関わる脆弱性そのものは、ありふれたものだという。実際、2年前にCERT Advisoryがこの攻撃を防ぐための方法を記しているが、Googleの開発者たちはこの情報を見逃したものと考えられる。その後、今から2年前にJim Ley氏がこの脆弱性を発見しGoogleに通報、それでも修復されなかったために数カ月前にもう一度通知、そのときにも対応が取られなかった上に「Google Desktop Search」が公開されたことでローカルファイルが検索結果に含められるようになり、さらなる被害が予想されたため、今回実際に動作するコードと共に脆弱性を公開したという。

 Jim Ley氏はそれ以降の経緯を自身のWebサイトに公開した。それによるとGoogleは20日午前中にこの問題を一部修復した。一部と言うのはGoogleが脆弱性を修復するためにVBScript、JavaScript、perlscriptの3つのスクリプト言語に限定して脆弱性を悪用できないようにしたからであり、逆に言えばこのほかのスクリプト言語では依然として問題が存在することになる。

 Jim Ley氏は同氏のBugTraqへの投稿で問題に気づいてからわずか14時間で処置を公開するというGoogleの素早さを評価しながらも、なぜスクリプト言語の使用に執着し「http://」でのみイメージを読み込めるようにして問題を完全に排除しなかったのか、Googleの扱いに疑問を抱いているようだ。


 米Googleのスポークスマンはこの件について「Googleは、Googleのサイトを利用するユーザーに影響を与える潜在的なセキュリティ脆弱性について最近注意を喚起された。その後この脆弱性は修復され、現在と将来のすべてのGoogle.comユーザーは保護されている」とコメントするにとどまった。

 この件に関して英Netcraftは、Jim Ley氏の調査を受けてこの脆弱性を調査した結果、最低あと1つの脆弱性を発見したとしている。この脆弱性もまたフィッシング詐欺に悪用できるそうだ。同社ではこの問題をすでにGoogleに通知しており、Googleが問題を改善した後に詳細を発表するとしている。この問題がJim Ley氏が指摘したものと同じものであるかどうかは現在のところ不明だ。

 この問題で、Jim Ley氏がGoogleのセキュリティ窓口であるメールアドレスの「security@google.com」にメールを送ってから2年間にもわたって脆弱性が放置されたのは問題であるのは明らかだ。Jim Ley氏はセキュリティ窓口専用電話番号をWebサイトに掲載すべきであると強く主張し、同社のセキュリティ対応チームの制度自体に問題があると指摘する。Googleほどインターネット上で大きな影響力を持つ企業であれば、こうした指摘をされるのももっともなことと言えよう。

 その一方で、セキュリティテストをコンサルティング業務として行なっているNetcraftでは、こうしたフィッシング詐欺に使える脆弱性を問題として抱えている大企業はGoogleだけではないことも指摘している。同社によると、この数週間だけでも大手銀行のSunTrust Bank、クレジットカード大手のMasterCardなどの大企業でも全く同様のクロスサイトスクリプティング脆弱性が発見されており、プログラマーがこのような間違いを犯しがちであることを指摘している。フィッシング詐欺が大きな問題となっている今こそ、すべてのWeb開発者は再度この問題に注意を向ける必要があるだろう。


関連情報

URL
  BugTraqへの脆弱性投稿記事(英文)
  http://www.securityfocus.com/archive/1/378813
  Jim Ley氏による実証ページ(英文)
  http://jibbering.com/2004/10/Google.html
  英NetCraftの該当記事(英文)
  http://news.netcraft.com/archives/2004/10/20/phishing_attacks_possible_on_google.html


( 青木大我 taiga@scientist.com )
2004/10/21 11:48

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.