私はActiveXやJavaのコードを「実行しますか」というメッセージが出たとき,基本的には実行しないようにしています。しかし,JavaScriptは無条件に許可しています。というのも,JavaScriptを悪用されても,ファイル・アクセスやOSの設定の変更,悪意のプログラムの埋め込みなどをできないからです。
しかし,JavaScriptは安全という考え方はもはや過去のものになろうとしているようです。そう思い始めたきっかけは,先ごろ開催されたセキュリティ技術のカンファレンス「Black Hat Japan 2006」を取材したからです。Black Hatはセキュリティ技術者が最新の攻撃手口や問題を披露するカンファレンスで,その技術レベルの高さや先進性で他を圧倒しています。
今回,Black Hatでの最もホットなトピックはWebセキュリティでした。特にWebブラウザに悪意あるJavaScriptを読み込ませることで,第3者がCookieを盗んで勝手に人のアカウントでWebページを利用したり,ブロードバンド・ルーターの設定を変えて外部からLAN内に自由に入る手口が紹介されていました(関連記事)。
こうした手口が一般的に使われるようになれば,もはや従来のセキュリティ対策が意味をなしません。セキュリティ・ホールをふさぐためのパッチの適用やファイアウォールの設置,ウイルス対策ソフトの導入といったものは,悪意あるJavaScriptをブロックできないからです。
もちろん,将来には悪意あるJavaScriptをブロックするソリューションが出てくるでしょう。その一方で,さらにこのソリューションをかいくぐる攻撃が出てくることも間違いありません。セキュリティを巡るいたちごっこは終わりが見えないというのが今の心境です。
|
