Black Hat Japan 2006 Briefings 潜入レポート（1）AJAXウェブアプリケーションへの攻撃: Web2.0の脆弱性

2006年10月5日,6日に新宿で開催され盛況のうちに幕を閉じた、国際セキュリティ会議 Black Hat Japan 2006 Briefings には、世界各国及び日本国内から、著名なコンピュータセキュリティのエキスパートが集結、世界トップクラスの研究成果と、知識・経験が発表されました。

特集特集

2006.12.13 Wed 18:00

2006年10月5日,6日に新宿で開催され盛況のうちに幕を閉じた、国際セキュリティ会議 Black Hat Japan 2006 Briefings には、世界各国及び日本国内から、著名なコンピュータセキュリティのエキスパートが集結、世界トップクラスの研究成果と、知識・経験が発表されました。

会期中は、多数の入場者が訪れたばかりか、その選りすぐられた講師陣が海外でも話題を呼び、ヨーロッパ等国外からの参加者も多数来日しました。

同会議には今年も昨年に引き続き、日頃SCANに寄稿いただいている専門技術者の方が、レポーターとして、参加しました。「Winny」「カーネル内でのWindowsフォレンジック分析」「イントラネットへの外部からの攻撃」「AJAXウェブアプリケーションへの攻撃」等、BHJ2006 のハイライトの一部を紹介します。

──────

携帯電話が定期券にもなり、クレジットカード機能も付き、お財布にまでなる。科学技術の進歩は目覚しく、世の中には次々と便利な物が登場しつづけている一方で、ちょっとしたミスやトラブルが致命的な結果をもたらすリスクも増大している。それでも大半の人は便利でより使いやすい方を選んでしまう。インターネット社会においても同様に、次々と新しい技術や手法が生み出され、数年前とは比較にならないほど便利になった。しかし、これらの技術や手法を利用することで、新たなリスクが増大していることはあまり知られていない。

本講演では、Web 2.0の普及により複雑化したWebアプリケーションのメカニズムと、現在のインターネット社会におけるリスクの変化について解説が行われ、Ajaxが抱えるセキュリティ上の問題点が紹介された。さらに、Webアプリケーション開発者の多くが、Ajaxのアーキテクチャとその問題点に対して殆ど理解していないことについても言及し、開発の際の注意点について解説が行われた。

●Web 2.0は新しい技術ではない

今や空前のAjaxブームであり、多くのサイトがAjaxを用いたサイトへ再構築を行っているという。

Web 2.0の「2.0」とは第2世代という意味であり…

株式会社ラック
コンピュータセキュリティ研究所
所長　岩井　博樹
CSL紹介
http://www.lac.co.jp/business/sns/intelligence/csl_report.html

──
（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec