『Google Gadgets』に悪用の危険性、『Black Hat』で発表へ

Google の『Google Gadgets』は、ユーザーがどこでも好きなところにコンテンツや小さなアプリケーションを配置できる、使いやすいコンポーネントだとされている。

しかし、アプリケーション セキュリティの Cenzic で上級セキュリティ アナリストを務める Tom Stracener 氏によれば、Google Gadgets はユーザーに対する攻撃の土台に使われる恐れがあるという。

Stracener 氏は、ラスベガスで開催中のセキュリティ関連会議『Black Hat USA 2008』(8月2-7日) でプレゼンテーションを行ない、Google Gadgets で作成したジェットがその他のガジェット、ひいてはエンドユーザーに対する攻撃にどのように利用される可能性があるのか、詳細にわたって説明する予定だ。攻撃による被害の内容は、極秘情報の流出から任意コード実行にまで及ぶという。

これに対し当の Google は、どんなガジェットもマルウェアの標的となる可能性を否定できないが、同社ではすでにユーザーを保護するための予防措置を積極的に講じていると反論している。

Stracener 氏はプレゼンテーションの前に取材に応じ、次のように述べた。「Web 2.0 を真に特徴づけているものは、ユーザー間の高い双方向性と、情報共有のアプリケーションだ。Google Gadgets で作成されるような小さなアプリケーションはこうした用途に最適だ。しかし一方で、誰かがユーザーをだますことを意図したガジェットを作れば、その意図は簡単に実行できる」

Google Gadgets で作成したガジェットは、ユーザーの『iGoogle』ホームページ上で実行できるほか、あらゆる Web ページに配置でき、デスクトップ検索ツール『Google Desktop』上でも実行可能だ。Stracener 氏によれば、これら各種のガジェット実装が (『Windows』『Linux』『Mac』のどの OS 上で実行されていようと) 攻撃者の悪用を許してしまうシナリオが複数考えられるという。

そのシナリオとは例えば、ユーザーが悪意あるリンクをクリックするよう誘い込むフィッシング詐欺攻撃の土台にガジェットが利用されるというものだ。また、クロスサイト リクエスト フォージェリ (CSRF) 攻撃に利用される可能性もある。

Stracener 氏によると、ガジェットを使った CSRF 攻撃のシナリオでは、ユーザーがあるアプリケーション内でフォームを送信すると、別の Web サイト上でユーザーが意図しない行動を取ったことになるなどの被害が生じ得るという。