SaaSに潜む脅威「JSONハイジャック」，IPSで情報漏えい対策を

インターネット上のWebサイトでグループウエアやERP（統合基幹業務）といった業務アプリケーションを提供するサービスが注目を集めている。いわゆるSaaS（software as a service）だ。ユーザーは，インターネット回線さえあればいつでもアプリケーションを利用できる。 このようなサービスを利用する際，サービス提供者の情報漏えい対策が気になるIT管理者は少なくないだろう。ただ実際には，ユーザーは複数のサービス提供事業者のサービス，自社のシステムを組み合わせて利用するケースが多くなる。もちろん，取引先などのシステムとの連携も考えられる。こうした環境に備えるなら，提供者側のセキュリティ・レベルに注意するだけでなく，ユーザー側で可能な限り対策を施すことが重要になる。 そこで今回は，様々なWebアプリケーションを連携させる際に使われるJSON（JavaScript object nota

[lizy]

jsonで取ってきたデータをどこかへ横流しする

[iso_27001]

JSONという技術を悪用する攻撃，「JSONハイジャック」は，このデータ交換の際に攻撃者がユーザーになりすまし，Webサイト上の機密情報を盗む攻撃である。うまく誘導されると，ユーザーは気付かないうちに情報を盗み取ら

[ockeghem]

この記事は宣伝と思った方がよい。JSONハイジャックはIEやFirefox3.X以上では実現しない。したがって、JSONハイジャック対策を目的としてIPSを導入するのはナンセンスだと思う