「Gmail」にゼロデイ攻撃の危険性――メールが盗まれ、攻撃者に転送されるおそれも
同脆弱性を発見したのは、最近その名を知られるようになった、ペトコ・ペトコフ氏である。同氏はここ2週間にわたり、Appleの「QuickTime」、Microsoftの「Windows Media Player」、Adobe Systemsの「Adobe Reader」などの脆弱性を、矢継ぎ早に指摘している人物だ。
ペトコフ氏は、今回の脆弱性に関する詳細は明らかにしなかったものの、攻撃者はGmailのフィルタリング機能を利用して、脆弱性を悪用できると話している。
ペトコフ氏によると、攻撃の対象となったGmailユーザーが、Gmailアカウントにログインしたまま悪質なWebサイトを閲覧すると、ユーザーのフィルタリング・リストに不正なフィルタが挿入されるという。なお同氏はGNUCITIZENのWebサイトに、予想される攻撃手法を図解している。
「この脆弱性が悪用されれば、受信前の電子メールも転送されてしまうことを忘れてはならない。Googleが悪質なフィルタの挿入を可能にするバグを修復したとしても、ユーザーのフィルタリング・リスト内に問題のフィルタが存在し続けるかぎり、攻撃を受ける可能性はなくならないのだ」(ペトコフ氏)
Googleは今回の脆弱性をどのように認識しているのだろうか。IDG News ServiceはGoogleにコメントを求めたが、同社からの回答は得られなかった。
もっとも、GNUCITIZENのWebサイトに寄せられたユーザー・コメントによると、同脆弱性は「Firefox」を利用しているユーザーであれば、同ブラウザの拡張機能で防止できるという。
Firefoxユーザーに人気のある機能拡張「NoScript」を開発したジョルジオ・マオン氏は、「NoScriptを利用すれば、JavaScriptの実行をはじめ、プラグインの実行を拒否できるので、同脆弱性を悪用した攻撃を回避することができる」とコメントしている。
米国ホワイトハット・セキュリティでCTO(最高技術責任者)を務めるジェレミー・グロスマン氏は、同脆弱性を「きわめて危険性が高い」と警告したうえで、自身のブログで以下のように記している。
「ブログ、インターネット・バンキング、オンライン・ショッピングなど、不特定多数のオンライン・アカウントに対して常にアクセスしているWebメール・アカウントは、多くの点でバンキング・アカウントよりも脆弱だ。同脆弱性を悪用する攻撃は、シンプルで目立たないが、おそろしく悪質だ」
なお、ペトコフ氏は今回のバグと関連し、以下のような見解を示している。
「あらゆるデータが目に見えない場所に保管されている今日、ユーザーの受信箱だけをねらっても、攻撃者にとっては“うまみ”が少ない。むしろ、永続性のあるバックドアやスパイウェア・フィルタをインストールし、個人情報を丸ごと盗むほうが、よほど簡単で実益になる」
(グレッグ・カイザー/Computerworld オンライン米国版)
米国Google
http://www.google.com/
提供:Computerworld.jp