ロシア大統領のウェブサイトには、小さな文字で次のような発表が掲載された。「心から申し上げます。エドワード・スノーデンはロシア国民です。@homakovに感謝します!」
このTwitterハンドルネームは、フリーランスのコンサルティングを行っている侵入テストグループ「Sakurity」のセキュリティ研究者、Egor Homakov氏のものだ。
ホマコフ氏の偽メッセージは、実際にはウラジーミル・プーチン大統領のウェブサイトには掲載されていませんでした。ホマコフ氏は、Google翻訳からユーザーに配信されるコンテンツを改変できるトリックを発見し、その方法について自身のブログで説明しています。
興味深いことに、ホマコフ氏とGoogleは、彼の発見が厳密にはセキュリティ上の問題ではないという点で一致している。「研究者が最初のブログ投稿の最後で示唆したように、これは実際にはセキュリティ上の脆弱性ではありません」とGoogleの広報担当者は声明で述べている。
代わりに、Homakov 氏は JavaScript を使用して、Google が元の翻訳されていないページから翻訳されたコンテンツを提供する方法を操作します。
Googleが何かを翻訳すると、そのコンテンツは「translate.googleusercontent.com」という、ホストされた別のサンドボックスドメインに返されます。このドメインではサードパーティのスクリプトの実行が許可されており、例えばホマコフ氏がコンテンツを変更できる可能性があります。
特定の種類のソフトウェアの欠陥を発見したセキュリティ研究者に報酬を支払うGoogleは、「.googleusercontent.com」ドメインのクロスサイトスクリプティングの脆弱性に対しては報酬を支払わないと勧告している。
同社によれば、同一オリジンポリシーを採用したドメインを多数管理しているという。これは、同一ドメイン内のサイト間のやり取りは許可しつつ、他のソースからの干渉を防ぐことを目的とした複雑な条件のセットである。
「.googleusercontent.com」の場合、Googleは「機密性の高いユーザーデータへの影響が実証されない限り、そのドメインでJavaScriptを実行できることはバグとはみなさない」としている。
それでも、ホマコフのトリックは面白い。米国政府の監視活動を記録した機密資料を大量に公開した元NSA契約職員スノーデンが、亡命を求めてロシアに今も取り残されているからだ。
ホマコフ氏の実験は、ユーザーが Google 翻訳を使用する際に注意する必要があることも証明している。コンテンツがほとんど信じられないような場合は、ネイティブ スピーカーを見つけて翻訳を確認するのが最善かもしれない。
