すべてのWebブラウザが攻撃の足がかりに

最近はEメールのあやしい添付ファイルやリンクを不用意にクリックする人が少なくなってきた。メールクライアントと連動するウイルスやスパイウエア対策ソフトの精度も向上している。だが、安心はできない。攻撃者は以前ほど効率的ではなくなったEメールやインスタントメッセンジャーよりも、ユーザーが信頼しているWebサイトを攻撃の道具にし始めている。XSS(Cross-site Scripting)の手法はWebの至るところに見られる。Webアプリケーションの使い勝手を向上させる技術として話題のAjax(Asynchronous JavaScript and XML)も例外ではない。XSSとは逆に、Webサービスにおけるユーザーの信用を悪用するCSRF(Cross-Site Request Forgeries)を使った攻撃も広がり始めている。Black Hat Briefings2日目には、最も大きな講演会場が「Webセキュリティ」に割り当てられた。6つの講演すべてがXSSに触れ、うち2つはAjaxを主題とした講演だった。

WhiteHat Securityの創設者Jeremiah Grossman氏とシニアセキュリティエンジニアであるT.C. Niedzialkowski氏は、「Hacking Intranet Websites form the Outside」と題したJavaScriptマルウエアの講演を行った。

イントラネットの内側では誰もが外部からの攻撃からしっかり守られているという意識を持っているが、「外部から内側のデバイスにアクセスされないと安心しきるのは間違っている」とGrossman氏。それどころか企業ネットワーク内の全てのWebブラウザが、外部からの侵入の足がかりになるという。

うっかりJavaScriptマルウエアが組み込まれたWebサイトを訪れたことで、ルーターやファイアウォールの設定が書き換えられセキュリティホールが発生する。信頼できるWebサイトを訪れたとしても、XSSの脆弱性があれば、悪意のあるスクリプトが実行される可能性がある。企業内には、プリンター、IPフォン、Webカムなど、数多くのWebベースのインタフェースを持つ機器が存在するので、侵入されれば様々な攻撃の可能性が広がる。実際に講演では、JavaScriptを使ったポートスキャニング、Java AppletによるIPアドレスの取得、DSLルーターやネットワークプリンターの外部からのコントロールなどが実演された。

講演は企業ユーザーを例にしていたが、ブロードバンドルーターを導入・設定してLANやPCのセキュリティを強化している一般ユーザーも、これまでのように安心はできないということだ。Webサイトを通じた攻撃の増加は「Eメールウイルスが現れ始め、様々な攻撃が試されていた頃に戻ったようなものだ」とGrossman氏。

エンドユーザーのソリューションとして両氏は、「HTMLコードが含まれるような、不審で長いリンクに用心する」、気になる場合は「JavaScriptやActiveXを無効にする」などを挙げた。また「完璧ではないが……」と前置きした上で、Netcraft ToolbarやFirefoxの拡張機能の1つであるNoScriptの使用を勧めた。

ただ、ユーザーまかせのソリューションは本質的な解決にはならない。httponlyフラグへの対応やコンテンツ制限などWebブラウザのさらなるセキュリティ強化の必要性を訴え、Webサイト運営者側に対しては、堅固な入力検証、セッショントークン、CAPTCHAなどの導入、HTTPリファラーによる発信元の確認などを求めた。