米国時間8月7日に開催されたLinuxWorldで、SPI DynamicのシニアセキュリティエンジニアMatt Fisher氏は、Web 2.0の脆弱性に関して演説した。Black Hatにて、同僚のBilly Hoffman氏およびBrian Sullivan氏が先週指摘した点と大きく変わらないものの、Fisher氏の演説では、ただのデスクトップブラウザのようなツールのみを用いて、犯罪者がオンラインで何をなし得るのか、複数の新たな例が紹介された。非営利団体MITREによると、容易に仕掛けられるということもあり、クロスサイトスクリプティング攻撃が、現在最大の脅威となっている。
Fisher氏は特に、ソーシャルネットワーキングサイト(SNS)の危険性を指摘した。SNSはユーザーコンテンツで成り立っているため、ユーザーがHTMLコードを自由にアップロードできてしまう。しかもほとんどのケースで、“あらゆる”HTMLコードのアップロードが可能だ。このことを念頭に置いて、Fisher氏は、投稿ブログに悪質なスクリプトコードを埋め込み、知らずに訪れる他人に読ませる可能性について言及した。それが一体どのような悪影響を及ぼすのかと疑問に思うだろうか。もしだれかが企業ネットワーク環境内で開いてしまったら、社内ネットワーク上に、攻撃者がコードを仕掛けられるようになると、Fisher氏は説明した。
この攻撃をそれほど強力な脅威に感じられないようであれば、Fisher氏が語る次のシナリオに注目したい。今回のシナリオでは、攻撃者は悪質なJavascriptをカスタマーヘルプチケット内に埋め込む。そのヘルプチケットは、企業ネットワーク内部にアーカイブされる。そして、カスタマーサポート担当者が、そのヘルプチケットを開く度に、埋め込まれたコードがデスクトップに感染し、企業ネットワークへと感染を広げていく可能性もあるのだ。
オペレーティングシステム(OS)の脆弱性ならばパッチの適用も可能だが、クロスサイトスクリプティング攻撃は、包括的な対策を取れない。ウェブアプリケーション特有の攻撃なのだ。こうした攻撃の影響を最小限にとどめるために講じるべき対策とは、エンドユーザーが、サイト上で実行できることと実行できないことに制限を加えるという手法である。これは単純な手法と思われがちだが、多くのWeb 2.0新興サイトは、すでに昔から広く知られている種類の攻撃に対してさえも、十分なチェック体制を整えていないというのが現状である。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
