体験で知るサイバーセキュリティー

恐怖!掲示板へのアクセスでパソコン乗っ取り(後編) クロスサイトスクリプティングなどを組み合わせた巧妙な手口を体験

記事保存

日経BizGate会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。

 この連載では、マルウエア(悪意のあるプログラム)、情報漏洩、不正アクセスなどセキュリティー侵害の恐ろしさを実際の体験を通じてリアルに説明している。情報セキュリティーの専門企業ラックによる監修・支援のもと、実験システムを作り、実際に体験させていただいた。今回も前回に続いて「社外の会員制掲示板サイトなどを使った社内パソコンの乗っ取り」についてリポートする。

◇ ◇ ◇

 前編では「クロスサイトスクリプティング(以下、XSS)」というセキュリティー上の脆弱性(プログラムの欠陥)がある場合、会員制掲示板サイトで別のユーザーになりすましてログインできることを示した。後編では同様にXSSの脆弱性を使って、ビクティム(Victim)のパソコンへ不正に侵入する手口を解説する。

フラッシュプレイヤーの脆弱性を悪用してビクティムのパソコンへ侵入

 ジョンになりすました攻撃者は、アタッカーのウエブサイトから攻撃用のフラッシュコンテンツをダウンロードするスクリプトを擬装用のメッセージとともに会員制掲示板サイトへ書き込む。不特定多数のユーザーを攻撃する場合であれば、来訪者が多い掲示板に書き込むだろう。ビクティムというユーザーを狙い撃ちにするなら、ビクティムへの個人的なメッセージとして書き込むかもしれない。

 続いて、攻撃者に狙われたビクティムが、会員制掲示板サイトに書き込まれたジョン(実は「アタッカー」がなりすましている)のメッセージをブラウザーに表示したとしよう。するとビクティムのパソコンのブラウザー画面は以下のようになる。ここで画面の一番下に新たに出てきたフレームが、ジョンになりすました攻撃者によって書き込まれたフラッシュコンテンツだ。

 フラッシュは、ウエブブラウザーに動きのあるビジュアルを表示する技術で、ウエブサイトからフラッシュコンテンツをダウンロードして、パソコンのフラッシュプレイヤーが再生する仕組みだ。しかし、フラッシュプレイヤーにはセキュリティー上の欠陥が次々と見つかっており、攻撃者に悪用されることが多い。

閲覧履歴

    クリッピングした記事

    会員登録後、気になる記事をクリッピングできます。