【レポート】

Black Hat Japan 2006 - 外部からイントラネット内にも攻撃可能、JavaScriptマルウェア

1 イントラネットには外部からアクセスできないという「認識」

小山安博  [2006/10/07]
  • <<
  • <

1/3

5日から都内で開幕したセキュリティカンファレンス「Black Hat Japan 2006 Briefings」の初日、「外部からのイントラネット内のWebサイトハッキング」と題し、WHITEHAT SECURITY創業者兼CTOのJeremiah Grossman氏が講演を行った。米国のBlack Hatでの講演と同じものなので、そちらも参考にしてほしいが、ここでは実際の攻撃手順を紹介したい。

Jeremiah Grossman氏

Grossman氏の講演のポイントは、ファイアウォールで守られているはずのイントラネット内にある機器やサービスのWebインタフェースが攻撃対象になりえる、というもの。

プリンタやファイルサーバ、開発マシン、IP電話、グループウェアなどがその対象となり、設定に使うWebインタフェースはイントラネット内からしかアクセスできないことが前提だ。

しかしGrossman氏は、イントラネット内には外部からアクセスできない、という「そもそもの前提が間違っている」と強調する。

この攻撃は「JavaScriptマルウェア」と呼ばれる手法を使う。この手法は「いかなる既知の、パッチを適用していないWebブラウザの脆弱性も利用しない。(攻撃に使われる)コードは巧妙な、洗練されたJavaScriptとCSS、Javaアプレットだ」。つまり、一般的にいわれる脆弱性をついた攻撃ではなく、ファイアウォールの設定など、セキュリティ対策がきちんとなされている状態であっても、攻撃が行われるというわけだ。

この攻撃では、まずJavaScriptマルウェアを、イントラネット内のユーザーに接触させなければならない。具体的には、攻撃者が構築したWebサイトに埋め込んでおいたり、クロスサイトスクリプティング(XSS)の脆弱性が存在する一般のWebサイトに埋め込む、HTMLメールに埋め込んだリンクをクリックさせる、などといった手法が考えられる。講演では、イントラネット内のユーザーがインターネット上のWebサイトを閲覧中にXSSの脆弱性があるサイトにアクセス、そこに埋め込まれたJavaScriptが実行されたという前提で進められた。

  • <<
  • <

1/3

インデックス

目次
(1) イントラネットには外部からアクセスできないという「認識」
(2) 攻撃者による情報の収集、ブラウザのコントロール
(3) 米SNS最大手MySpaceから得られる教訓


IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

特別企画 PR

人気記事

一覧

イチオシ記事

新着記事

CentOS 6.8登場
[09:00 5/27] 企業IT
IT業界で働く日本女性は有利か!?女性エンジニアの実情に迫る - 日本MS
[09:00 5/27] 企業IT
Holst/imecがセンサネットや将来のIoT向けに低消費電力無線チップを開発
[08:30 5/27] テクノロジー
【コラム】Windows 10ミニTips 第85回 UWP版「電卓」をショートカットキーで便利に使う
[08:20 5/27] パソコン
【コラム】サラリーマンが知っておきたいマネーテクニック 第53回 おすすめ投資信託は「ノーロード」&「インデックス型」&「バランス型」(1)
[08:00 5/27] マネー

特別企画 PR

求人情報