JavaScriptを悪用した攻撃手法

JavaScriptを悪用した攻撃手法--セキュリティ研究者らが発見 - CNET Japanによると、

JavaScriptを使って家庭や企業におけるネットワークの構成を把握し、接続されたサーバやプリンタ、ルータなどのデバイスを攻撃する方法を、セキュリティ研究者らが発見した。

らしい。この方法はJavaScriptを使用するため、クライアントサイド、つまり攻撃されるPC上で動作するため*1、ファイヤーウォール等のセキュリティ対策も回避されるそうである。

この攻撃を防ぐためには、Webアプリケーション作成者は

  1. XSSの脆弱性を修正する
  2. すべてのJavaScriptのチェック

といった必要性があげられている。Webサイトを閲覧する側としては、今のところJavaScriptを無効にするほかないのだが、「あまりに多くのウェブサイトがこれを利用しており、それでは本当の解決にならない」と書かれているとおり、根本的解決には至らない。


こういった、JavaScriptを使用した攻撃はこの先も増えていくだろうから、ブラウザ自体が対策を打つ必要性があるだろう。例えば、ページを読み込んだときに実行されるJavaScriptや、ほかのページに移動するようなJavaScriptを制限したり、確認したりすることが考えられる。
さて、この記事を見せたら例のサイト*2は対策をとるのだろうか?*3


ただ、この攻撃方法には今のところいくつかの手順を踏まなければならず、設定さえきちんと行えば問題はない、と捉えることもできる*4。この記事の焦点はそこではなく、「今まで考えてこられなかった方法での攻撃」を発見した点だろう。

*1:自分で自分を攻撃するわけだ。

*2:やっぱりどことはいいませんよ?

*3:いや、多分無視されるという予感が・・・

*4:もちろん、そう遠くないうちにもっと簡単な攻撃方法が見つかる可能性はある。