「Google Desktop」に深刻な脆弱性――グーグルは修正版を配布
「Googleサイトとの連携機能を改良すべき」と専門家米国グーグルは先ごろ、デスクトップ検索ツール「Google Desktop」で見つかった、攻撃者にPCの制御権を奪われるおそれのある脆弱性を修正した。しかし、この脆弱性を発見したセキュリティ企業の専門家は、同様の脅威が生じることを防ぐため、グーグルのWebサイトとの連携機能を改良すべきだと述べている。
Google Desktopは、コンピュータ上の電子メールやWeb履歴、ファイルを検索できる無料のツールだ。今年1月、セキュリティ分析ソフトウェアを提供しているウォッチファイアは、同ツールがクロスサイト・スクリプティング攻撃に対して脆弱である事実を突き止め、グーグルに警告した。クロスサイト・スクリプティングとは、ユーザーのコンピュータ上で悪質なコードを実行する攻撃を指す。
ウォッチファイアのCTO(最高技術責任者)、マイク・ワイダー氏によれば、攻撃に使用された電子メール・ファイルやWebサイトURL、RSSフィードなどをユーザーがクリックした場合に、Google Desktopが稼働しているコンピュータが乗っ取られる可能性があるという。
コンピュータ上のあらゆる個人的文書へのアクセスを攻撃者に許すおそれがあるため、この攻撃はきわめて危険性が高いと考えられている。
「これまでわれわれは、グーグル製品に限らず、多種多様なWebアプリケーションに存在する脆弱性を見つけてきたが、その中でも今回の問題は格段に深刻なものだと断言できる」(ワイダー氏)
同氏は、グーグルは2月初頭までに、この脆弱性を修正したと話している。
グーグルによると、この脆弱性を悪用した攻撃は現時点では確認されていないという。同社はこの問題を修正するパッチをすでに開発しており、Google Desktopは自動的に最新版にアップデートされる手はずになっていると述べた。
しかしワイダー氏は、現時点では自動アップデートが行われたことを完全には確認できていないとしている。
「グーグルは自動的にアップデートされると主張しているが、わたし自身をはじめ、ウォッチファイアの複数のスタッフが確認したところ、そうした形跡は見当たらなかった。自動アップデートが実施されていないというケースが、ほかの場所でも起こっているに違いない」(同氏)
グーグルがマスコミ向けに発表した声明文には、こう記されている。
「Google Desktopの最新版については、さらなるセキュリティ・チェック体制を敷き、ユーザーが将来的にこうした脆弱性の被害に遭わないよう、万全の策を講じた。今回の脆弱性が攻撃に悪用されたとの報告は、まだ受けていない。ただし全ユーザーには、Google Desktopが最新版であるかどうかをこちらから確認し、そうでない場合は直ちにダウンロードおよびインストールすることを推奨する」
もっとも、ワイダー氏は「まだ安心できない」と語る。Google DesktopはグーグルのWebサイトと連携するようになっているため、クロスサイト・スクリプティング攻撃に新たな手法が登場した場合は、ユーザーが再び脆弱な状態に陥ることもありうると同氏は指摘する。
ワイダー氏は、Google Desktopとサイトの接続を必要に応じて解除できるようにすれば、こうした問題が発生するのを防げるのではないかと考えている。
「自分が使っているコンピュータ上のインデックスを検索するオフライン・ツールと、Google.comというオンライン・サイトの2つの要素を持つように改良するわけだ。実際、グーグルはこうした変更を施すことを検討していると思う」(ワイダー氏)
グーグルは、WebサイトとGoogle Desktopの接続を解除する機能の可能性については口を閉ざし、発表した声明にはそうした改良に関する記述はないとだけ回答した。
(ジョン・ブロドキン/Network World オンライン米国版)
