HTMLフォームのウェブページにある脆弱性を指摘（ドイツ）

　ドイツのコンピュータ・プログラマーJochen Topf氏は“悪意あるハッカーが一見普通のウェブページを使用して、企業のファイアウォールのような防護壁の背後に設置されたサーバにコマンドを送ることが可能”とする論文を発表した。“HTMLフォーム・プロトコル攻撃”と題

国際海外情報

2001.8.30 Thu 12:00

　ドイツのコンピュータ・プログラマーJochen Topf氏は“悪意あるハッカーが一見普通のウェブページを使用して、企業のファイアウォールのような防護壁の背後に設置されたサーバにコマンドを送ることが可能”とする論文を発表した。“HTMLフォーム・プロトコル攻撃”と題する論文によると、攻撃者は一般に普及されているウェブ・ブラウザを悪用して秘密裏にそのブラウザのサーバにコマンドを送ることができる。

　その攻撃手法は、訪問者がオンライン・フォームに入った情報を取り込むために使用されるのと同じHTMLベース技術を用いる。正当なウェブページの場合、フォームを定義する全てのHTMLコードは、通常ウェブページ自身をホスティングしている同じサーバ上で動作するアプリケーションにユーザの要求を送る。しかし、同氏の指摘によると、フォーム・プロトコル“attacker”は、攻撃者のHTMLを符号化してその送られたデータを他のサーバに転送し、そして電子メール（SMTPとPOP3）、インターネット・チャット・リレー（IRC）、FTP（ファイル転送プロトコル）などのサービスに関連するTCP（伝送制御プロトコル）ポートを明示することも可能となる。

　前述のような攻撃手法が大規模な攻撃に使用される危険性は低い、とTopf氏は説明している。しかし、悪意あるハッカーがインターネット・ワームのような他の悪質なコードを埋め込み、そして自身の発信源を隠蔽するための有効な方法となり得ると警告した。さらに同氏はウェブ・ブラウザ用ソフトウェアの作成者に対し、脆弱の恐れがあるインターネット・サービスに関連するTCPポートへのフォーム・データの伝送をアプリケーションが確実に拒否するよう設計することを推奨し、そしてサーバ・ソフトウェアの開発者に対し、アプリケーションが受け取るデータのタイプに関し、より厳密に選択するようアプリケーションを設計すべきだと提言した。