いま、「GoogleGadgets」のあいようしゃは、れいすいをあびせられたきぶんだろう。べいこくラスベガスでかいさいされたセキュリティ・コンファレンス「BlackHat」(8つき2にち〜7にちかいさい)において、2にんのけんきゅうしゃがGoogleGadgetsの(ショッキングな)もんだいをほうこくしたからだ。
【かんれんがぞうをふくむしょうさいきじ】 GoogleGadgetsは、サード・ベンダーやGoogleユーザーがかいはつ/ていきょうしているものである。Googleはこれらのガジェットについて、「そのせいのう、ひんしつ、ないようについていかなるほしょうもひょうめいもしない」とのスタンスをとっている。
セキュリティ・コンサルティングかいしゃのべいこくSecTheoryのそうぎょうしゃで、「RSnake」のよびなももつロバート・ハンセン(RobertHansen)しは、「GoogleGadgetsをあくようすれば、こうげきしゃはにんいのガジェットをきょうせいてきにだいさんしゃのPCにインストールできてしまう」とけいこくした。
もちろん、このこうげきがゆうこうになるのは“とくていのじょうけんか”であることがだいぜんていだ。しかし、あくいあるガジェットのインストールにせいこうすれば、ひがいしゃのけんさくりれきをよみとったり、ひがいしゃがりようしているほかのガジェットをこうげきしたり、ひがいしゃのユーザーめいとパスワードをぬすみだすといったこともかのうになるという。
Hansenしによると、このこうげきがせいりつするには、ユーザーがじぶんでモジュールをついかすることがひつようになる。ユーザーがこうげきしゃにだまされてあくいあるモジュールをじぶんの「iGoogle」についかすると、こうげきのひょうてきとなってしまうのだ。
「こうしたユーザーはほとんどのばあい、JavaScriptといっぱんてきなWebブラウザをつかっている。このため、たしゅたようなこうげきにあいやすい」(Hansenし)
Webアプリケーション・セキュリティ・ベンダーであるべいこくCenzicのシニア・セキュリティ・アナリストで、Hansenしときょうどうプレゼンテーションをおこなったトム・ストラスナー(TomStracener)しは、GoogleGadgetsによるきょういをいかのようにせつめいした。
■ガジェットがほかのガジェットをこうげき――このこうげきにより、クッキーのとうなんをはじめ、ガジェットをつうじてユーザーのこじんじょうほうがぬすまれるかのうせいがある。
■ガジェットがユーザーをこうげき――フィッシングからCRSF(クロスサイト・リクエスト・フォージェリ)まで、たようなこうげきがおこなわれるかのうせいがある。
■ガジェットをじどうてきについか――あくいあるWebページがユーザーにきづかれずに、ユーザーのiGoogleにガジェットをついかし、ガジェット・ベースのマルウェアをかくさんさせるかのうせいがある。
■べつのGoogleアカウントにログイン――ガジェットがユーザーをべつのGoogleアカウントにログインさせ、けんさくりれきをかんしするかのうせいがある。
もっともいまのところ、こうしたきょういがビジネスへあたえるえいきょうはちいさいという。ただし、tracenerしは、「こんご、GoogleGadgetsがコンシューマーだけなくビジネスでもりようされるようになれば、ビジネス・ユーザーのセキュリティ・リスクもぞうだいするだろう」とけいこくしている。
(ShawnaMcAlearney/CIO.com)
【かんれんきじ】
[とくしゅう]セキュリティ・マネジメント[BlackHat]DNSぜいじゃくせいもんだい、はっけんしゃがけっかんのしょうさいをついにこうひょう――こうげきほうもたすうしょうかい[Symantecちょうさ]マルウェアけんしゅつすうがるいけいで100まんけんをとっぱグーグル、インタラクティブこうこくの「GoogleGadgetAds」をはっぴょうGoogleけんさくけっかからマルウェア・サイトにゆうどうするてぐちがはっかく
