Googleが配布しているデスクトップ検索ソフト「Google Desktop Search(GDS)」に、情報漏洩につながる深刻な脆弱性が発見された。すでにGoogleはこの問題を修正した新バージョンを配布しており、通常であれば自動的に最新版にアップデートされる。
脆弱性を発見したのは米ライス大学のDan Wallach教授と大学院生のSeth Fogarty氏およびSech Nielson氏のグループ。コンピュータシステムセキュリティに関する授業の最終プロジェクトの中で発見したという。
GDSでは、Googleの通常のWeb検索の結果とローカルファイルの検索結果を統合してWebブラウザ上に表示する機能を提供するが、この脆弱性を悪用すると、ローカルファイルの検索結果を第三者が盗み見ることができてしまう。具体的には、ユーザーが攻撃者のWebサイトを訪問することで、そこに埋め込まれたJavaアプレットがGDSに接続し、本来はGoogleの検索結果ページに送られるはずのローカル検索結果の情報を盗み取ることができるという。第三者からローカルファイルを直接呼び出すことはできないが、検索結果の中にファイルの要約が表示されるため、そこにパスワードなどの個人情報が含まれている場合には個人情報が漏洩する可能性がある。
問題を回避する最も確実な方法は、GDSを最新バージョンにすることだ。インストールされているGDSのバージョンは、タスクバーにあるGoogle Desktopアイコンから「About」を選択すれば確認できる。バージョン番号が「121004」(2004年12月10日の意味)以降であれば安全と言える。GDSは通常、アップデート作業が自動的に完了することになっているが、使用している環境によってはバージョンアップできないことがあるようだ。報告によれば、その場合はいったんGDSをアンインストールし、その後最新バージョンをインストールするという作業が必要になるという。
一方、旧バージョンをなんらかの事情で使用し続けなければならない場合には、GDSの「Preferences」で、Web検索結果ページの中にローカル検索の結果を表示しないよう設定すれば、影響は受けないとされている。
GDSの最新バージョンが公開されたことは数日前から話題になっていたが、改善点についての情報が公開されていなかった。20日にライス大学とGoogleが正式にコメントを発表したことで、脆弱性が存在していたことが明らかになった。コメントの中でGoogleは、発見者に謝意を表わすと同時に、現時点で「被害が出ていない」との認識を示している。また「ユーザーに提供する製品のセキュリティより重要なことはない」と強調している。
デスクトップ検索ソフトはあらゆるローカルファイルを検索対象とするために、インデックスの表示方法や保管方法のセキュリティを確保しなければ、深刻な脆弱性になりうるとの報告がアナリストらによって相次いで出されており、今後も動向に注意が必要だ。今回報告された脆弱性は、GDSがWeb検索結果とローカル検索結果を合わせて表示するという独自の機能に依存するものであるため、他社のデスクトップ検索ソフトで同様の脆弱性が存在する可能性については低いと見られている。ただし、別の種類の脆弱性に関してはこの限りではない。
関連情報
■URL
ライス大学コンピュータセキュリティラボ(英文)
http://seclab.cs.rice.edu/
Dan Wallach教授らによるレポート(英文、PDF)
http://seclab.cs.rice.edu/gdesktop-tr-dec04.pdf
■関連記事
・ ローカルファイルを検索する「Google Desktop Search」ベータ版公開(2004/10/15)
・ デスクトップ検索ソフトが重大なリスクに~米セキュリティ企業が警告(2004/12/16)
( 青木大我 taiga@scientist.com )
2004/12/21 15:04
- ページの先頭へ-
|