【Black Hat】Google Gadgetsを悪用すれば、マルウェアを強制インストールできる—

2008年08月08日(金) 19時44分

【Black Hat】Google Gadgetsを悪用すれば、マルウェアを強制インストールできる——専門家が警鐘（Computerworld.jp）

　今、「Google Gadgets」の愛用者は、冷水を浴びせられた気分だろう。米国ラスベガスで開催されたセキュリティ・コンファレンス「Black Hat」（8月2日〜7日開催）において、2人の研究者がGoogle Gadgetsの（ショッキングな）問題を報告したからだ。

【関連画像を含む詳細記事】

　Google Gadgetsは、サード・ベンダーやGoogleユーザーが開発/提供しているものである。Googleはこれらのガジェットについて、「その性能、品質、内容についていかなる保証も表明もしない」とのスタンスを取っている。

　セキュリティ・コンサルティング会社の米国SecTheoryの創業者で、「RSnake」の呼び名も持つロバート・ハンセン（Robert Hansen）氏は、「Google Gadgetsを悪用すれば、攻撃者は任意のガジェットを強制的に第三者のPCにインストールできてしまう」と警告した。

　もちろん、この攻撃が有効になるのは“特定の条件下”であることが大前提だ。しかし、悪意あるガジェットのインストールに成功すれば、被害者の検索履歴を読み取ったり、被害者が利用しているほかのガジェットを攻撃したり、被害者のユーザー名とパスワードを盗み出すといったことも可能になるという。

　Hansen氏によると、この攻撃が成立するには、ユーザーが自分でモジュールを追加することが必要になる。ユーザーが攻撃者にだまされて悪意あるモジュールを自分の「iGoogle」に追加すると、攻撃の標的となってしまうのだ。

　「こうしたユーザーはほとんどの場合、JavaScriptと一般的なWebブラウザを使っている。このため、多種多様な攻撃に遭いやすい」（Hansen氏）

　Webアプリケーション・セキュリティ・ベンダーである米国Cenzicのシニア・セキュリティ・アナリストで、Hansen氏と共同プレゼンテーションを行ったトム・ストラスナー（Tom Stracener）氏は、Google Gadgetsによる脅威を以下のように説明した。

■ガジェットがほかのガジェットを攻撃——この攻撃により、クッキーの盗難をはじめ、ガジェットを通じてユーザーの個人情報が盗まれる可能性がある。

■ガジェットがユーザーを攻撃——フィッシングからCRSF（クロスサイト・リクエスト・フォージェリ）まで、多様な攻撃が行われる可能性がある。

■ガジェットを自動的に追加——悪意あるWebページがユーザーに気づかれずに、ユーザーのiGoogleにガジェットを追加し、ガジェット・ベースのマルウェアを拡散させる可能性がある。

■別のGoogleアカウントにログイン——ガジェットがユーザーを別のGoogleアカウントにログインさせ、検索履歴を監視する可能性がある。

　もっとも今のところ、こうした脅威がビジネスへ与える影響は小さいという。ただし、tracener氏は、「今後、Google Gadgetsがコンシューマーだけなくビジネスでも利用されるようになれば、ビジネス・ユーザーのセキュリティ・リスクも増大するだろう」と警告している。

(Shawna McAlearney/CIO.com)

【関連記事】
［特集］セキュリティ・マネジメント
［Black Hat］DNS脆弱性問題、発見者が欠陥の詳細をついに公表——攻撃法も多数紹介
［Symantec調査］マルウェア検出数が累計で100万件を突破
グーグル、インタラクティブ広告の「Google Gadget Ads」を発表
Google検索結果からマルウェア・サイトに誘導する手口が発覚

http://headlines.yahoo.co.jp/hl?a=20080808-00000006-cwj-secu