Webブラウザにセキュリティ・ホールやバグがあることは,きっと多くの人が知っている。そして,セキュリティ・ホールやバグ,HTMLの脆弱性を突いた悪質なWebサイトやリンクが,インターネットに数多く存在することもまたよく知られている。だが,そうした事実はどこか他人事のように思いがち。そんな人も,セキュリティ・ホールの怖さを体験できるサイトにアクセスすると,甘い認識が一変するはずだ。
たとえばJava House Mailing List世話人の高木浩光氏(電子技術総合研究所)が公開しているWebページには,「Brown Orifice」と呼ばれるJava仮想マシンのセキュリティ・ホールを使ったデモがある。対策が施されていないブラウザでアクセスすると,ハードディスクの内容や,最近閲覧した画像ファイルが次々と表示されてびっくりする。
Brown Orificeは4.74以前のNetscape Communicatorで,Java仮想マシンからNetscape本体のアクセス機能を乗っ取れるというもの。悪用すると,利用者のパソコンのハードディスクからデータを読み出したり,それをネットワーク経由で転送できるという,かなり深刻なセキュリティ・ホールである。
Brown Orificeが発覚したのは2000年8月のこと。何を今さらと思うかもしれないが,筆者の周りには旧版のブラウザをそのまま使っているユーザーがけっこういた。ちなみに,Netscape Navigator 4.75やNetscape 6ではこのホールはなくなっている。Windows版Internet Explorerにある同様のセキュリティ・ホールは,ビルド3318と呼ぶバージョンより新しいMicrosoft VMをインストールすれば塞げる。
セキュリティ・ホールとはちょっと違うが,「ブラウザ・クラッシャ」を体験できるページもある。ブラウザ・クラッシャ(通称ブラクラ)はインターネットの掲示板などでよく見かける悪質ないたずら。リンクをクリックすると,勝手にウインドウをどんどん開いて止まらなくなったり,フロッピ・ドライブへアクセスし続けて,結果的にユーザーのマシンをハングアップさせる。<;IMG>; タグを使ったり,WebページにJavaScriptやVBScriptを埋め込んで,これらの悪さを働くのである。
「危ないサイトは見ないから」「パッチがいろいろあってどれを適用すべきか分からない」「最近買ったマシンだからプリインストールのブラウザは対応済みだろう」--。セキュリティ・ホールを塞ぐ手間を惜しむ理由はいろいろある。でも,一番の要因は本当の怖さを経験していないことにあるのではないのだろうか。まずは,こうした体験ページを活用して,本当の怖さを知るところから始めてはいかがだろうか。
関連リンク
・Netscape 4.74のセキュリティ・ホールを体験
・Windows版Internet Explorerのセキュリティ・ホールを体験
・ブラウザー・クラッシャーを体験
・ブラウザー・クラッシャーを判定
