攻撃の基点となったXSSの脆弱性が存在するWebサイトに、新たなJavaScriptマルウェアを使って全画面のiFrameで偽ページを作成、そこにアクセスすると、攻撃者側のコマンドによってブラウザがコントロールされる。

ここで事前に判明した機器のWebインタフェースのプライベートアドレスにリダイレクトするようコマンドを出せば、イントラネット内の機器のWebインタフェースにアクセスできてしまう。

通常そうしたWebインタフェースにアクセスするにはユーザー名とパスワードが必要だが、イントラネット内だと安心してデフォルトのユーザー名とパスワードだった場合、すぐにアクセスされてしまう。また、ブラウザがコントロールされている間は、キーボード入力も攻撃者側に分かってしまうので、それを使われる可能性もある。

Grossman氏は、「どんなWebサイトにアクセスした場合でも、誰もが犠牲者になりうる」と話す。WHITEHATの調査では、1,500以上のカスタマイズされたWebアプリケーションが確認され、8割のWebサイトにXSSが存在したという。

たとえば米最大のソーシャルネットワーキングサイトMySpaceをおそったSamy Wormは、13歳の少年が自身のサイトにJavaScriptマルウェアを埋め込み、それを見た人のサイトの友人リストに少年を加え、さらにそこにもJavaScriptマルウェアを埋め込んだことで、加速度的に被害が拡大。24時間で、全ユーザー3,500万のうち、100万ユーザーが感染したという。

これはつまり、100万のユーザーのブラウザが攻撃者の自由にコントロールできる状態にあった、ということで、Grossman氏はその危険性を訴える。

対策については米国のレポートにあるとおりだが、その中でWebサイト側は、アクセス者の入力に対して「Rock Solid Input Validation」を導入するよう進めている。これを使えば、90%のXSS攻撃は避けられるのだそうだ。

また、事前にWebサイトの安全性を検証すること、イントラネット内のWebサイトでもパッチを当てたりデフォルトのパスワードを変更したりするなどの対策の必要性を訴えた。