［米国］
グーグルのWebアプリ、XSS攻撃のターゲットに

すでに脆弱性は修正されているものの、専門家は「今後も同様の問題が発生する」と警告

（2008年04月17日）

　米国Googleが提供するWebアプリケーション「Google Spreadsheets」で、深刻な脆弱性が発見された。同脆弱性を攻撃者が悪用すれば、攻撃対象のユーザーが利用しているGoogleのWebアプリケーション・スイートすべてにアクセスできるという。

　同脆弱性を発見したセキュリティ研究者のビリー・ライオス（Billy Rios）氏によると、これは、ユーザーのコンピュータ上で悪質なコードを実行するクロスサイト・スクリプティング（XSS）を可能にするもので、現在（日本時間4月17日）は修正されているという。しかしRios氏は、「SaaS（Software as a Service）の普及拡大に伴い、今後も同様の問題が発生する可能性がある」と指摘している。

　「GoogleのWebアプリケーションの認証プロセスは、構造上、1回のXSS攻撃で、特定ユーザーが利用しているGoogleのWebアプリケーションや、保存している文書など、すべてにアクセス可能となる。もちろん、Gmailも例外ではない」（Rios氏）

　同脆弱性に対する攻撃は、「Internet Explorer（IE）」を利用してWebサーバにアクセスし、Webサーバから返されるコンテンツ・タイプをIEが判断する際、一定の条件下によってはコンテンツ・タイプ・ヘッダを無視するという構造を悪用するものだ。Rios氏によると、「Firefox」や「Opera」、「Safari」などのWebブラウザでも、同様の問題が発生する可能性があるという。

　「（Webアプリケーションの）開発者は、一般ユーザーが利用しているこれらのWebブラウザに、コンテンツ・タイプ・ヘッダの処理方法の違いがあることを理解する必要がある。さもないと、WebアプリケーションをXSSの危険にさらすことになる」（Rios氏）

　ちなみにRios氏は最近、Google Codeの脆弱性も指摘している。これはパスワードの盗難を引き起こす脆弱性だったが、すでにGoogleは同脆弱性を修正している。

　Googleは3月31日、Google Spreadsheetsを含む「Google Apps」に、オフラインでもアプリケーションを利用できる機能を追加した。同社は発表後三週間以内に、ドキュメント作成アプリケーションの全ユーザーが、オフラインでも文書を閲覧／編集できるようにするとしている。

　また同時にGoogle Docsに包含されているスプレッドシート・アプリケーションにも、オフライン閲覧機能が追加されるという。ただし、オフライン編集機能は、オフライン閲覧機能のあとに追加される予定だ。

　一方、同じくGoogle Docsに包含されているスライド・プレゼンテーション作成アプリケーションには当面、同機能は追加されない。なお、「Google Apps」に包含されている「Gmail」、「Google Talk」、「Google Calendar」など、そのほかのサービスも、将来的にはオフラインで利用できるようになるという。

(Matthew Broersma／Techworld.com)