Windows 8やWindows 10でウェブサイトのライブタイル提供に使われていたサブドメインが放棄された状態に

Catalin Cimpanu (ZDNET.com) 翻訳校正: 石橋啓一郎

2019-04-18 19:23

 Microsoftが、「Windows 8」や「Windows 10」のライブタイルにニュースや最新情報を通知するために使用していたサブドメインのコントロールを失った状態になっている。ライブタイルとは、Windowsのスタートメニューに表示されるアニメーション機能が付いたタイルのことだ。

 このサブドメイン(notifications.buildmypinnedsite.com)は現在、問題に気付いたセキュリティ研究者でドイツのIT関連ニュースサイトGolem.deのジャーナリストでもあるHanno Bock氏の制御下に置かれている。

RSSを使ったウェブサイトからの情報配信に使われていたサブドメイン

 このサブドメインは、MicrosoftがWindows 8のリリース時に立ち上げたサービスbuildmypinnedsite.comの一部で、より具体的には、スタートページやスタートメニューに表示されるライブタイルに、ウェブサイトからの最新情報を表示するために使われていた。

 各ウェブサイトがこの新機能を利用するには、「Edge」ブラウザのユーザーがWindows 8のスタートページやWindows 10のスタートメニューにウェブページを「ピン留め」できるようにするためのmetaタグを、ソースコードに埋め込む必要があった。

Edgeブラウザのピン留め機能

 クライアント側では、Windowsユーザーがスタートページやスタートメニューを開くと、ピン留めされているサイトのmetaタグを読み込み、その後ライブタイルの中にコンテンツを読み込む仕組みになっている。

 ところが、Windowsのライブタイルサービスは、限られたフォーマットのRSSフィードしか処理できなかったため、Microsoftはスタートページ・スタートメニューにアニメーション付きのライブタイルを作成したいウェブサイトに対して、notifications.buildmypinnedsite.comのサブドメインを使って、RSSフィードをWindowsのタイルサービスが解釈可能な特別なXMLフォーマットに変換することを推奨していた。

 何千ものウェブサイトが、読み手に情報を届けるための新しい手段として、このmetaタグをサイトのソースコードに埋め込んだ。

metaタグの例
提供:ZDNet

 しかし、現地時間4月17日のBock氏の発言によれば、このサービスはすでに利用できなくなっている。

 「そのためのXMLファイルを配信すべきホスト(notifications.buildmypinnedsite.com)は、MicrosoftのクラウドサービスであるAzureのエラーメッセージを表示していた」と同氏は述べている。「このホストは、Azureのサブドメインの1つにリダイレクトされていた。ところが、このサブドメインはAzureに登録されていなかった」

 Bock氏は自分のAzureアカウントでこのサブドメインを登録し、現在は受信したすべてのリクエストをシンクホールとして処理しているという。同氏はこの問題についてMicrosoftに知らせたが、返事はなかったと述べている。

 「われわれが永久にこのホストを登録し続けることはない。このホストへのトラフィックはかなりの量で、維持には大きなコストがかかっている」(Bock氏)

 同氏は、「われわれが今後このサブドメインを放棄すれば、悪意を持った攻撃者がこのドメインを登録し、攻撃に利用する可能性もある」と警告している。

 悪意を持った攻撃者がこのドメインを取得した場合、このサイトからWindowsのライブタイルサービスを悪用する不正なXMLファイルが配信され、現在もスタートページやスタートメニューでウェブサイトのライブタイルを使用しているユーザーのコンピューターで、コードが実行される可能性がある。

 Bock氏はまた、この機能を利用していたウェブサイトに対して、ソースコードからmetaタグを削除するか、自分たちで独自にライブタイル用に作成されたXMLファイルを提供し、ユーザーがnotifications.buildmypinnedsite.comのサブドメインにアクセスしないようにすることを勧めている。このサブドメインを利用しているサイトには、Mail.ru、Engadget、BGR、TenForums、Golem.de、Heise.deなどが含まれるという。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  4. クラウドコンピューティング

    Snowflakeを例に徹底解説!迅速&柔軟な企業経営に欠かせない、データ統合基盤活用のポイント

  5. ビジネスアプリケーション

    AI活用の上手い下手がビジネスを左右する!データ&AIが生み出す新しい顧客体験へ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]