［米国］
Google Desktopでまたしても脆弱性が発覚――PCの全データが流出するおそれも

（2007年02月26日）

　先週、デスクトップ検索ツール「Google Desktop」の深刻な脆弱性を修正したばかりの米国グーグルだが、同ツールで再び新たな脆弱性が発覚した。

　今回発覚したのは、クロスサイト・スクリプティングを応用した「Anti-DNS Pinning」攻撃の一種に対する脆弱性で、先週発覚した脆弱性と同様、クロスサイト・スクリプティング攻撃に脆弱なPCが狙われる可能性がある。なお、クロスサイト・スクリプティングとは、ユーザーのコンピュータ上で悪質なコードを実行する攻撃を指す。

　この脆弱性を発見したのは、セキュリティ・コンサルティング会社セクセオリー・ドットコムのCEO（最高経営責任者）、ロバート・ハンセン氏。同氏は自身のブログに、「Anti-DNS Pinningの一種を用いた攻撃は、まだほとんど知られてない攻撃手法」としながらも、「この脆弱性を悪用すれば、Google Desktopが稼働しているPCの全データを盗むことができる」と指摘したうえで、Google Desktopが稼働しているPCからデータが流出する仕組みを同ブログ内で解説している。

　一方グーグルは、ハンセン氏が指摘した脆弱性について「現在調査中」としたうえで、今後はGoogle Desktopの開発工程においてセキュリティ・チェックを強化する方針であることを明らかにした。

　セキュリティの専門家らは、今回発覚した脆弱性は先週の脆弱性よりも“やっかい”であると指摘する。

　ホワイトハット・セキュリティのCTO（最高技術責任者）、ジェレミア・グロスマン氏は「Anti-DNS Pinningはセキュリティ分野でも新しい部類に属するものであり、その仕組みはまだごく少数の研究者しか理解していない」と語る。

　同氏によると、今回ハンセン氏が発見した攻撃方法は、ユーザーがGoogle Desktopを利用してGoogleのWebサイトにアクセスする際に、攻撃者が同Webサイトと特定のIPアドレスとを関連づけることで、Google Desktopユーザーのトラフィックを攻撃者が受け取れるようにするものだという。

　「Anti-DNS Pinningの攻撃から身を守るには、クロスサイト・スクリプティングの脆弱性をなくすこと以外に方法はない。ただし同攻撃は実行が難しいため、すぐに犯罪者に利用される可能性は少ないが、危険性を念頭に置き、細心の注意を払うべきだろう」（グロスマン氏）

　ハンセン氏とグロスマン氏は、クロスサイト・スクリプティングのような攻撃に対して脆弱なWebサイトを運営している企業は、グーグルにかぎらないと指摘する。例えば、ソーシャル・ネットワーキング・サイトのMySpace.comでは、昨年12月に、ログオン情報が盗まれ、個人情報が流出する事件が発生している。

　「こうした新種の攻撃に対してユーザーがとれる自衛策はほとんどない。Webブラウザの改良が必要になるだろう」（グロスマン氏）

(ロバート・マクミラン／IDG News Service サンフランシスコ支局)