悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2005年02月24日(木) 12時47分

ブログがやばい--スパイウェアの配布に悪用される脆弱性見つかるCNET Japan

 ハッカーが、ブログを使ってコンピュータにスパイウェアを忍び込ませていることから、ウェブ上で数百万人に利用されているこのツールに深刻なセキュリティ上の欠陥があることが明らかになった。

 この問題は、ウェブページ上でプログラムを起動するのによく使われている、JavaScriptとActiveXの使用方法に関連したもの。セキュリティ専門家によると、悪意を持つプログラマーがJavaScriptやActiveXを使って、脆弱なウェブブラウザでサイトにアクセスしてきたユーザーのPCに、ブログから自動的にスパイウェアを送りつけることが可能だという。

 ウェブでは、音楽再生などの新機能でサイトを強化するJavaScript(で書かれたスクリプト)がブロガー向けに無償で配布されているが、スパイウェアツールをこのスクリプトの中に隠す例も見つかっている。この場合、感染したツールを使うブロガーが、知らないうちに自分のサイトをスパイウェアの配布元にしてしまうことになる。

 スパイウェア対策ソフトウェアを開発するWebrootの技術責任者、Richard Stiennonは、「不法アドウェアビジネスの新たな手法が登場してしまった」と言う。

 「ブログサイトのように自動生成されるウェブサイトが、ActiveXやJavaScriptを組み込めるようになっていると、ブロガーやウェブページの所有者に悪質なコードを埋め込ませようとするスパイウェア作者にとって恰好の場所となってしまう」(Stiennon)

 セキュリティ専門家らによると、この問題が影響するのは、MicrosoftのInternet Explorer(IE)ユーザーがセキュリティ設定を最高にしていない場合だけだという。

 この脆弱性の問題が最も顕著に表れたのは、最も幅広く利用されているGoogleのBloggerサイトだが、しかしほかのサービスでも影響が出る可能性はある。

 BloggerのBlogspot.comネットワークにアクセスしたウェブユーザーからは、「Next Blog」リンクをクリックしたところ感染したサイトに飛ばされてしまった、との苦情が寄せられている。この「Next Blog」リンクは、ユーザーが新しいブログを見つけるを助けたり、ウェブユーザーを任意のBlogspotサイトに誘導するよう設計されたものだ。

 ハーバード大学の研究者で、自分のサイトでこの脆弱性に関する資料を公開しているBen Edelmanは、「Bloggerが大きなバックッドアを残してしまった」としている。

 Googleの関係者は、同社が「この問題を認識しており、調査を進めているところだ」とコメントした。

 Blogspot.comにあるブログにアクセスした複数のユーザーが、悪質なコードをコンピュータに配布しようとするポップアップ広告が表示されるようになったと述べており、なかにはコンピュータがスパイウェアに対して無防備なので、この広告をクリックして対策を取るよう促してくるという、間違いやすい広告もある。そして、この広告をクリックした場合、PCにスパイウェアをインストールするダウンロードが始まってしまう。

 Bloggerにアクセスしたユーザーのなかには、自らのコンピュータが自動ダウンロードの被害にあったという人もいる。この人物は、自分では何もクリックしなかったにも関わらず、ダウンロードが始まり、マシンが感染してしまったと話している。

 この被害者を名乗る人物は、Mallory & Tsibourisで働く弁護士で、自社のウェブサイトに注意を促す情報を掲載している。

 Edelmanによると、悪質なコードを配布している犯人のひとつは、iWebtunesというサービスで、このサービスを使えばJavaScriptのコードを数行追加するだけで自分のウェブサイトに音楽を追加できるという。Blogspotを利用しているブロガーはiWebtunesのコードを自分のテンプレートに埋め込むだけで、アクセスしてきたユーザーのPCに知らないうちにスパイウェアを送りつけている可能性がある。

 iWebtunesは、スパイウェアがPCにダウンロードされるごとにその分の手数料を得るか、あるいはアドウェアによる広告売上から利益を得ている可能性が高い。それに対し、スパイウェアを送りつけられたブロガー側では何も得られない。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

海外CNET Networksの記事へ

関連記事
MSはセキュリティ市場参入より、対策製品の要らない環境作りを--米調査会社 - 2005/02/21 11:32
マイクロソフトのセキュリティ分野参入--競合各社の反応は冷ややか - 2005/02/17 12:25
「スパイウェアを使った夫の浮気調査は違法」--米控訴裁 - 2005/02/16 17:25
アスクジーブス、ブログラインズを買収 - 2005/02/09 22:27
クッキーの使用は合法--修正が進められるスパイウェア規制法案 - 2005/02/04 18:07
Bloggerサービスの創設者E・ウィリアムズがグーグル退社へ - 2004/10/06 15:48

 ■CNET Japanニューズレター(無料)
  毎朝メールで最新テクノロジー・ビジネス情報をお届けします。お申し込みはこちら。

[CNET Japan]
http://japan.cnet.com/
(CNET Japan) - 2月24日12時47分更新

http://headlines.yahoo.co.jp/hl?a=20050224-00000003-cnet-sci