Internet Watch logo
記事検索
最新ニュース
レゴ、小学生向けプログラミング教材「WeDo 2.0」発売
[2016/01/29]
マクロウイルスを知らない世代の社員が狙われる? 「Office文書を開いて感染」攻撃が再び増加
[2016/01/29]
新gTLD「.shop」、49億円でGMOが落札、AmazonやGoogleなどに競り勝つ
[2016/01/29]
Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
[2016/01/29]
インストール不要の非常駐型セキュリティソフト「Dr.Web CureIt!」、日本語版を無料で提供
[2016/01/29]
筆まめ、中小事業者向け顧客管理ソフト「筆まめ顧客管理 Windows版」発売
[2016/01/29]
大日本印刷が「サイバーナレッジアカデミー」設立、IAIの訓練システムでセキュリティ技術者を養成
[2016/01/29]
「インターネット白書2016」発売、20周年記念の特別版
[2016/01/29]
NEC、中小規模事業者向けセキュリティアプライアンス「Aterm SA3500G」を発売
[2016/01/29]
Synology、2ベイNASのハイエンドモデル「DS216+」、暗号化データも上下100MB/秒以上で高速転送
[2016/01/29]
公安9課が情報流出の危険性を解き明かす、「攻殻機動隊 S.A.C.」の描き下ろしPDFコミック「HUMAN-ERROR TRAPS」無償公開
[2016/01/29]
Google Playに「マンガストア」オープン、ジャンプコミックスも配信開始
[2016/01/28]
BIGLOBE、電力とインターネットのセットプラン、中部電力の首都圏エリア展開に合わせ
[2016/01/28]
ウェブブラウザーのプライベートブラウジング機能、認知していた人は23.1%
[2016/01/28]
LINE、違う電話番号のスマホから一方的にアカウント移管操作を行えないよう仕様変更
[2016/01/28]
LINEのiPhone版アプリがiPadにも対応、「LINE for iPad」より多機能、大画面で音声・ビデオ通話が可能に
[2016/01/28]
Microsoft、Officeと他社クラウドストレージとの連携を強化
[2016/01/28]
Googleのディープラーニングシステムによって、人工知能が初めて囲碁のプロ棋士に勝利
[2016/01/28]
ソラコム、IoTプラットフォーム「SORACOM」と既存システムを専用線でつなぐサービスや認証機能など提供開始
[2016/01/28]
Google「Chrome 48」iOS版ではクラッシュ率70%低下、JavaScript実行速度も大幅改善
[2016/01/28]

Google、最初の指摘から2年後にクロスサイトスクリプティング脆弱性を修復


 GoogleのWebサイトをフィッシング詐欺に悪用出来るクロスサイトスクリプティング脆弱性が2年間放置された後に研究者のサイトの指摘によって昨日20日に一部修復されたことが明らかになった。

 これはコンピュータ研究者Jim Ley氏が発見した脆弱性で、悪用すればGoogleのWebサイトと思い込ませてクレジットカード番号などを入力させるフィッシング詐欺に利用できるというものだ。Jim Ley氏は自身のWebサイトでこの脆弱性を悪用可能であることを示す実験を行なって見せた。「Googleが月額5ドルの会員制サービスに移行することになり、今加入すれば生涯わずか10ドルで利用できる」という架空の詐欺を行なうためのページを作成。アドレスバーにはGoogleのURLが表示され、画面構成もデザインもGoogleのものに酷似しているため、容易にクレジットカード番号などの個人情報を入力してしまう可能性が存在することがわかる。

 このクロスサイトスクリプティングに関わる脆弱性そのものは、ありふれたものだという。実際、2年前にCERT Advisoryがこの攻撃を防ぐための方法を記しているが、Googleの開発者たちはこの情報を見逃したものと考えられる。その後、今から2年前にJim Ley氏がこの脆弱性を発見しGoogleに通報、それでも修復されなかったために数カ月前にもう一度通知、そのときにも対応が取られなかった上に「Google Desktop Search」が公開されたことでローカルファイルが検索結果に含められるようになり、さらなる被害が予想されたため、今回実際に動作するコードと共に脆弱性を公開したという。

 Jim Ley氏はそれ以降の経緯を自身のWebサイトに公開した。それによるとGoogleは20日午前中にこの問題を一部修復した。一部と言うのはGoogleが脆弱性を修復するためにVBScript、JavaScript、perlscriptの3つのスクリプト言語に限定して脆弱性を悪用できないようにしたからであり、逆に言えばこのほかのスクリプト言語では依然として問題が存在することになる。

 Jim Ley氏は同氏のBugTraqへの投稿で問題に気づいてからわずか14時間で処置を公開するというGoogleの素早さを評価しながらも、なぜスクリプト言語の使用に執着し「http://」でのみイメージを読み込めるようにして問題を完全に排除しなかったのか、Googleの扱いに疑問を抱いているようだ。


 米Googleのスポークスマンはこの件について「Googleは、Googleのサイトを利用するユーザーに影響を与える潜在的なセキュリティ脆弱性について最近注意を喚起された。その後この脆弱性は修復され、現在と将来のすべてのGoogle.comユーザーは保護されている」とコメントするにとどまった。

 この件に関して英Netcraftは、Jim Ley氏の調査を受けてこの脆弱性を調査した結果、最低あと1つの脆弱性を発見したとしている。この脆弱性もまたフィッシング詐欺に悪用できるそうだ。同社ではこの問題をすでにGoogleに通知しており、Googleが問題を改善した後に詳細を発表するとしている。この問題がJim Ley氏が指摘したものと同じものであるかどうかは現在のところ不明だ。

 この問題で、Jim Ley氏がGoogleのセキュリティ窓口であるメールアドレスの「security@google.com」にメールを送ってから2年間にもわたって脆弱性が放置されたのは問題であるのは明らかだ。Jim Ley氏はセキュリティ窓口専用電話番号をWebサイトに掲載すべきであると強く主張し、同社のセキュリティ対応チームの制度自体に問題があると指摘する。Googleほどインターネット上で大きな影響力を持つ企業であれば、こうした指摘をされるのももっともなことと言えよう。

 その一方で、セキュリティテストをコンサルティング業務として行なっているNetcraftでは、こうしたフィッシング詐欺に使える脆弱性を問題として抱えている大企業はGoogleだけではないことも指摘している。同社によると、この数週間だけでも大手銀行のSunTrust Bank、クレジットカード大手のMasterCardなどの大企業でも全く同様のクロスサイトスクリプティング脆弱性が発見されており、プログラマーがこのような間違いを犯しがちであることを指摘している。フィッシング詐欺が大きな問題となっている今こそ、すべてのWeb開発者は再度この問題に注意を向ける必要があるだろう。

関連情報

URL
  BugTraqへの脆弱性投稿記事(英文)
  http://www.securityfocus.com/archive/1/378813
  Jim Ley氏による実証ページ(英文)
  http://jibbering.com/2004/10/Google.html
  英NetCraftの該当記事(英文)
  http://news.netcraft.com/archives/2004/10/20/phishing_attacks_possible_on_google.html


( 青木大我 taiga@scientist.com )
2004/10/21 11:48

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.