ユーザーが気づかないうちにWebブラウザを攻撃者のツールに変えてしまうソフトウェアがインターネットにポストされたことが明らかになった。この事態は、今年3月に米国ワシントンD.C.で開催されたハッカー・コンファレンス「ShmooCon」（3月23～25日）の会場で来場者の1人がこのソフトウェアをダウンロードしたことから始まった。

「Jikto」と呼ばれる同ソフトウェアは、スパイ・ダイナミクスの主任研究員であるビリー・ホフマン氏が作成した。同氏は3月24日、JavaScriptを使った悪意のあるプログラムの危険性をテーマとした講演でこのコードのデモンストレーションを行った。

ホフマン氏は、あらゆるWebブラウザで稼働させることができるWeb言語であるJavaScriptを使ってWeb脆弱性スキャン・プログラムを作成する方法を発見した。この手法を使えば、JavaScriptのセキュリティ機能を迂回することができる。

そのため、Jiktoコードが悪用されるのを恐れたホフマン氏は、コードが外部に出るのを防ぐための特別な手段を講じていたという。

しかし、デモンストレーションを行うためには、Jiktoコードをインターネット上のどこかの場所にポストしなければならない。ホフマン氏によると、「（その過程で）きわめて短時間だが、Jiktoコードを実行した場所のオリジナルURLを読み取れる状況が生まれた」という。

きわめて短時間とはいえ、このときコンファレンス会場にいたマイク・スクロール氏にとっては、コピーを入手するのに十分な時間だった。

セキュリティ・マネジメント・パートナーズの情報セキュリティ・コンサルタントであるスクロール氏は、「私はステージに近い席に座っており、たまたまラップトップ・コンピュータを使っていた。再度URLが出た瞬間、コンピュータにそれを打ち込んだ」と語っている。

スクロール氏は3月25日、自身のWebサイト上にJiktoコードをポストし、ニュース・サイトの Digg.com にこのコードへのリンクを張った。それから数時間後、同氏は、ホフマン氏の要請を受けて、このソフトウェアを削除した。

スクロール氏は、スクリプティング攻撃の危険性を説明する方法を探し求めているセキュリティ専門家らにとって有益だと考え、このコードをポストしたという。

「われわれは、顧客とともにフィッシング・サイトの構築方法を研究する取り組みを行っているため、Jiktoコードに関心を持った。非道な行為や悪意のある行為に手を染めるつもりはなかった」（同氏）

ちなみに、スクロール氏によると、同氏のWebサイトからは、このソフトウェアがおよそ100回程ダウンロードされたという。

先週末、Jiktoコードが再び出現することになった。今度は、 Sla.ckers.orgのオンライン討論サイト にポストされたのだ。

セキュリティ研究者の多くは、犯罪者が社内のネットワークをスキャンして機密情報を探し出したり、悪意のあるボットネット・コードを作成したりするためにJiktoを悪用する危険があると警告している。

ホワイトハット・セキュリティの最高技術責任者、ジェレミア・グロスマン氏は、「この特殊なツールは、Webブラウザをコントロールできるように設計されている。これを使えば、ほかのWebサイトに入り込み、内部をスキャンして、脆弱性を見つけ出すことができる」と指摘する。

ホフマン氏は、自分のツールが外部に流出してしまったことについて、「800行ほどの小さなアプリケーションにすぎず、同様のソフトウェアは犯罪者も遠からず開発できたはずだ」と述べている。

同氏は、「公開されてしまったのは確かに悲劇と言えるが、この手法は、悪意を持つ人々もすでに知っているはずであり、（今回流出しなかったとしても）数カ月先には開発が行われたはずだ」と語っており、Jiktoコードを入手し、公開したスクロール氏に対しても怒りは感じていないとしている。

(ロバート・マクミラン／IDG News Service サンフランシスコ支局)

提供：Computerworld.jp