Google の検索アプライアンスにフィッシング詐欺を招く脆弱性

Google (NASDAQ:GOOG) の企業向け検索アプライアンス『Google Search Appliance』(GSA) および『Google Mini』に、新たな脆弱性が見つかった。フィッシング攻撃を増加させる可能性があるとして、セキュリティの専門家らが警告している。

問題の脆弱性について、詳細を明らかにした米国の IT セキュリティ機関 NIST.org によると、両検索アプライアンスに存在するクロスサイト スクリプティングの脆弱性が、多くの Web サイトを「フィッシング攻撃に対して準備の整った」状態にしてしまうという。

問題の脆弱性を利用すれば、GSA および Google Mini の特殊文字処理を回避でき、検索結果に『HTML』または『JavaScript』コードを忍ばせ、「正規の Web サイトを悪用」することが可能になる。

Gartner のアナリスト John Pescatore 氏は、取材に応えて次のように述べた。「これを利用すれば、攻撃は相当容易になる。攻撃目標の相手を引っ掛けて、偽の Web サイトに誘導する必要がなくなるからだ。実際のところ、攻撃目標になった人々が、正規のサイトにアクセスするだけで済む。これは検出が困難なため、多くの意味でフィッシング詐欺の Eメールより危険だ」

Google の広報担当者は声明の中で、問題の脆弱性はまだ悪用されていないと述べた。Google の検索アプライアンスには、昨年もクロスサイト スクリプティングの脆弱性が見つかっている。

なお Google は、22日に IT セキュリティ緊急対策組織 CERT から連絡を受け、その日のうちに問題の修正方法について顧客に通知したという。