japan.internet.com
テクノロジー2006年8月7日 09:00

Web ブラウザのキャッシュ情報は、攻撃者にとって絶好の標的

この記事のURLhttp://japan.internet.com/webtech/20060807/11.html
著者:Sean Michael Kerner
海外internet.com発の記事
3日に閉幕したセキュリティ関連会議『Black Hat USA 2006』の席上で、セキュリティ会社 McAfee の Foundstone 部門上級コンサルタント Corey Benninger 氏は、Web ブラウザのキャッシュ情報について、クラッカーの欲望を即座に満たす材料を与えるものと説明した。

ブラウザのキャッシュは、ユーザビリティ機能の1つとして、ユーザーのブラウザ利用体験効率化の促進を意図したものだ。ページなどのデータをキャッシュに保存しておくことで、同一ページを再表示する際、キャッシュしたデータから迅速に処理できる。

またキャッシュには、フォーム入力時の自動補完が行なわれるような場合、ユーザーの入力データも保存することがある。こうしたデータは、クレジットカード番号や銀行口座情報のような、個人の身元を特定し得る情報を含んでいる可能性がある。

金銭的利益を求めてクラッカーがシステムを乗っ取った際、一般的な手口は、いずれユーザーが自ら情報を入力すると期待し、トロイの木馬やキー操作記録プログラムを仕掛ける形だ。

しかし Benninger 氏によると、ブラウザのキャッシュ情報は、トロイの木馬やキー操作記録プログラムよりもはるかに手早くユーザーの機密情報を引き出せるため、クラッカーの欲望を即座に満たすという。

ブラウザのキャッシュ情報はさまざまな形で存在する。最も単純なものは、ユーザーがアクセスしたサイトの詳細を保存している履歴情報だ。

たとえば、URL のパラメータの中に、セッション ID、ユーザー名、アカウント番号といった情報が存在するかもしれない。またフォームに入力した情報も、個人情報を含む可能性のある別の形のキャッシュ情報だ。

こうした情報を引き出すのは、それほど難しい話ではない。その一例が、Benninger 氏の所属する Foundstone で配布しているオープンソースツール『dumpAutoComplete』だ。同ツールは、Web ブラウザ『Firefox』のフォーム入力履歴を、検索可能な XML 形式に変換できる。
japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。

Copyright 2014 internet.com K.K. (Japan) All Rights Reserved.