【 ここから本文 】
セキュリティ・マネジメント
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
【Black Hat USA 2008】
「Google Gadgetsを悪用すれば、マルウェアを強制インストールできる」――専門家が警鐘
パスワードの盗難や検索履歴が読み取られるおそれも
(2008年08月08日)
 |
| 米国GoogleのWebサイトからは、無数のガジェットがダウンロードできるようになっている |
今、「Google Gadgets」の愛用者は、冷水を浴びせられた気分だろう。米国ネバダ州ラスベガスで開催されたセキュリティ・コンファレンス「Black Hat USA 2008」(8月2日〜7日開催)において、2人の研究者がGoogle Gadgetsの(ショッキングな)問題を報告したからだ。
Google Gadgetsは、サードパーティ・ベンダーやGoogleユーザーが開発/提供しているものである。Googleはこれらのガジェットについて、「その性能、品質、内容についていかなる保証も表明もしない」とのスタンスを取っている。
セキュリティ・コンサルティング会社の米国SecTheoryの創業者で、「RSnake」の呼び名も持つロバート・ハンセン(Robert Hansen)氏は、「Google Gadgetsを悪用すれば、攻撃者は任意のガジェットを強制的に第三者のPCにインストールできてしまう」と警告した。
もちろん、この攻撃が有効になるのは“特定の条件下”であることが大前提だ。しかし、悪意あるガジェットのインストールに成功すれば、被害者の検索履歴を読み取ったり、被害者が利用しているほかのガジェットを攻撃したり、被害者のユーザー名とパスワードを盗み出すといったことも可能になるという。
Hansen氏によると、この攻撃が成立するには、ユーザーが自分でモジュールを追加することが必要になる。ユーザーが攻撃者にだまされて悪意あるモジュールを自分の「iGoogle」に追加すると、攻撃の標的となってしまうのだ。
「こうしたユーザーはほとんどの場合、JavaScriptと一般的なWebブラウザを使っている。このため、多種多様な攻撃に遭いやすい」(Hansen氏)
Webアプリケーション・セキュリティ・ベンダーである米国Cenzicのシニア・セキュリティ・アナリストで、Hansen氏と共同プレゼンテーションを行ったトム・ストラスナー(Tom Stracener)氏は、Google Gadgetsによる脅威を以下のように説明した。
■ガジェットがほかのガジェットを攻撃
この攻撃により、クッキーの盗難をはじめ、ガジェットを通じてユーザーの個人情報が盗まれる可能性がある。
■ガジェットがユーザーを攻撃
フィッシングからCRSF(クロスサイト・リクエスト・フォージェリ)まで、多様な攻撃が行われる可能性がある。
■ガジェットを自動的に追加
悪意あるWebページがユーザーに気づかれずに、ユーザーのiGoogleにガジェットを追加し、ガジェット・ベースのマルウェアを拡散させる可能性がある。
■別のGoogleアカウントにログイン
ガジェットがユーザーを別のGoogleアカウントにログインさせ、検索履歴を監視する可能性がある。
もっとも今のところ、こうした脅威がビジネスへ与える影響は小さいという。ただし、tracener氏は、「今後、Google Gadgetsがコンシューマーだけなくビジネスでも利用されるようになれば、ビジネス・ユーザーのセキュリティ・リスクも増大するだろう」と警告している。
(Shawna McAlearney/CIO米国版)
[世界]Google検索結果からマルウェア・サイトに誘導する手口が発覚
特定フレーズの検索結果上位に悪質サイトへのリンクを表示
[米国]【Symantec調査】マルウェア検出数が累計で100万件を突破
うち半分は2007年下半期に検出。「マルウェア作成の分業化が進行」と分析
[米国]【Black Hat USA 2008】DNS脆弱性問題、発見者が欠陥の詳細をついに公表――攻撃法も多数紹介
「SSLはわれわれが思っているような万能薬ではない」と強調
[世界]Google Toolbarで脆弱性発覚、データ盗難に遭うおそれも
専門家は「Googleのずさんな仕事ぶりが原因」と指摘
[米国]グーグル、インタラクティブ広告の「Google Gadget Ads」を発表
「Webページの中に、さらにWebページを表示させられる」と同社
![サイバー・セキュリティ[罪と罰]](/images/_main/200805/SI-107409.jpg)
