JavaScript攻撃の前にはパッチもファイアウォールも無力 米ホワイトハット 最高技術責任者(CTO) ジェレミア・グロスマン セキュリティ研究家として著名な米ホワイトハットのジェレミア・グロスマン最高技術責任者(CTO)が,東京で10月上旬に開催されたセキュリティ技術の会議「Black Hat Japan 2006」のために来日した。Webブラウザに悪意のあるJavaScriptを送り込むことで情報を漏えいさせる攻撃が今後本格化すると警告するグロスマン氏に,従来の対策を無力にする新手法の手口とその対策を聞いた。(聞き手は中道 理=日経コミュニケーション) ――WebブラウザとJavaScriptでどんな攻撃ができるのか。 JavaScriptを使えば,ユーザーのWebブラウザからCookieデータやアクセス履歴を取り出し,これを別のサイトに送信できる。こうして手に入れたクッキーを使え