10月19日に英国人コンピュータ研究者のJim Ley氏がGoogleにフィッシング詐欺に悪用できる脆弱性があることを公開した後、英NetcraftでもGoogleにさらに複数の脆弱性を発見した。今回、それらの脆弱性を報告したNetcraftのPaul Mutton氏がGoogleのセキュリティに関して見解を話してくれた。
Mutton氏はまずGoogleの現状として、Googleがさまざまな種類のサービスを提供するようになったため「それぞれの開発者を会社全体として統率する努力が難しくなってきているのではないか」と指摘。その上で一般論として「より多くのサービスが提供されるにつれて、たくさんのバグが表面化したとしても驚くにはあたらない。サービスの数を増加させることは、脆弱性が存在する場所の数を増加させることになり、さらにはそれらが発見される可能性も高くなる。どのような大規模アプリケーションでもあることだが、脆弱性が他の場所に存在する可能性は高い」と述べた。
実際にNetcraftでもGoogleに複数の脆弱性を発見しており、そのうちの1つによってGoogleのソースコードの一部とファイル構造、アプリケーションロジックの一部が見える状態だったと説明している。これによってNetcraftでは、Googleのソースコードの一部にスクリプティング言語のPythonが使用されていることを確認したという。なお、Netcraftが発見した脆弱性はすでにGoogleに報告され、修正されている。
Mutton氏は「全体としてGoogleの利用者はそれほど気にする必要はないと思う。Googleは個人情報をそれほど持っておらず、システムが改ざんされたとしても多くのユーザーを危険にさらすことにはならない。ただ不便になるだけだ」との見解を示す一方で、フィッシング詐欺に悪用できる脆弱性は発見されたものの中でもより危険だと指摘する。
しかしNetcraftでは、他の大企業のWebサイトにも同様の問題があることから、Googleだけが特別に危険性が高まるわけではないと考えているようだ。「Googleは他の企業に比べて傑出している。このような事件によってその卓越性を曇らせることがあったとしても、Googleはそのようなことは問題にならないほど傑出した位置に実際にいる。私は個人的には、Googleのサーチエンジンよりもよい代替サービスを知らない」(Mutton氏)。
最初の脆弱性の発見者であるLey氏によって、脆弱性への対応が2年間も無視されるというGoogle内部の問題が指摘されているが、Mutton氏もその点については「Googleはもっと早く問題を修復できていたはずだ」とコメントしている。なお、Netcraftが発見した複数の脆弱性は、Googleが用意したセキュリティ報告用メールアドレスである「security@google.com」を経由して送られたわけではないという。Mutton氏は、Google社内にいる個人的な知り合いに直接連絡し、数時間以内に返信を受けて、結果として2日で修正が完了したとの経緯を明らかにした。Googleはセキュリティ報告用メールアドレスに送られたLey氏の報告が2年間も放置された点について公式に説明していないが、体制の見直しを図ると考えられる。
関連情報
■URL
Googleの脆弱性に関するNetcraftの報告(英文)
http://news.netcraft.com/archives/2004/10/22/google_fix_second_phishing_vulnerability.html
■関連記事
・ Google、最初の指摘から2年後にクロスサイトスクリプティング脆弱性を修復(2004/10/21)
( 青木大我 taiga@scientist.com )
2004/10/25 12:28
- ページの先頭へ-
|