米国GoogleのWebサイトからは、無数のガジェットがダウンロードできるようになっている

今、「Google Gadgets」の愛用者は、冷水を浴びせられた気分だろう。米国ネバダ州ラスベガスで開催されたセキュリティ・コンファレンス「Black Hat USA 2008」（8月2日〜7日開催）において、2人の研究者がGoogle Gadgetsの（ショッキングな）問題を報告したからだ。

　Google Gadgetsは、サードパーティ・ベンダーやGoogleユーザーが開発／提供しているものである。Googleはこれらのガジェットについて、「その性能、品質、内容についていかなる保証も表明もしない」とのスタンスを取っている。

　セキュリティ・コンサルティング会社の米国SecTheoryの創業者で、「RSnake」の呼び名も持つロバート・ハンセン（Robert Hansen）氏は、「Google Gadgetsを悪用すれば、攻撃者は任意のガジェットを強制的に第三者のPCにインストールできてしまう」と警告した。

　もちろん、この攻撃が有効になるのは“特定の条件下”であることが大前提だ。しかし、悪意あるガジェットのインストールに成功すれば、被害者の検索履歴を読み取ったり、被害者が利用しているほかのガジェットを攻撃したり、被害者のユーザー名とパスワードを盗み出すといったことも可能になるという。

　Hansen氏によると、この攻撃が成立するには、ユーザーが自分でモジュールを追加することが必要になる。ユーザーが攻撃者にだまされて悪意あるモジュールを自分の「iGoogle」に追加すると、攻撃の標的となってしまうのだ。

　「こうしたユーザーはほとんどの場合、JavaScriptと一般的なWebブラウザを使っている。このため、多種多様な攻撃に遭いやすい」（Hansen氏）

　Webアプリケーション・セキュリティ・ベンダーである米国Cenzicのシニア・セキュリティ・アナリストで、Hansen氏と共同プレゼンテーションを行ったトム・ストラスナー（Tom Stracener）氏は、Google Gadgetsによる脅威を以下のように説明した。

■ガジェットがほかのガジェットを攻撃

　この攻撃により、クッキーの盗難をはじめ、ガジェットを通じてユーザーの個人情報が盗まれる可能性がある。

■ガジェットがユーザーを攻撃

　フィッシングからCRSF（クロスサイト・リクエスト・フォージェリ）まで、多様な攻撃が行われる可能性がある。

■ガジェットを自動的に追加

　悪意あるWebページがユーザーに気づかれずに、ユーザーのiGoogleにガジェットを追加し、ガジェット・ベースのマルウェアを拡散させる可能性がある。

■別のGoogleアカウントにログイン

　ガジェットがユーザーを別のGoogleアカウントにログインさせ、検索履歴を監視する可能性がある。

　もっとも今のところ、こうした脅威がビジネスへ与える影響は小さいという。ただし、tracener氏は、「今後、Google Gadgetsがコンシューマーだけなくビジネスでも利用されるようになれば、ビジネス・ユーザーのセキュリティ・リスクも増大するだろう」と警告している。