米アナリストがXMLのセキュリティ脆弱性に警鐘

　XML（Extensible Markup Language）とXMLベースのプロトコルは、企業間で情報をやりとりする際の手段として一般的になりつつある。しかしこうしたWebサービス技術が広く普及しているにもかかわらず、企業はXMLのセキュリティ上の脆弱性に気付かず、大半の企業では脆弱性に対してネットワーク上の対策を施していないとアナリストらは述べている。

　「XMLは新たな危険をもたらすだけでなく、これまでインターネットが直面してきた昔の危険をいくつか呼び起こすと我々は考えている」とリサーチ会社GartnerのセキュリティアナリストJohn Pescatoreは述べる。「セキュリティ担当者は、Webサービスの基本構造と、想定される問題のタイプを理解しておかねばならない」（Pescatore）

　現在のところ、XMLやWebサービスに対する悪質な攻撃は顕在化していない。企業は通常、社内アプリケーションに接続する場合や、パートナー企業との間で情報を共有する場合などにWebサービスを使用する。このような場合は、信用のある関係者だけが利用することになり、脅威にさらされるリスクは少ない。

　しかし、企業がWebサービスやXMLの利用を拡大するならば、データの公開方法や対象を再検討する必要があると、GartnerのアナリストBenoit Lheureuxは述べている。企業間で情報をやりとりするアプリケーションの場合、貴重な社内情報がネットワーク上を流れることになる。そのため、Webサービスのインターフェースを利用して企業ネットワークに侵入された場合、単にウェブサイトそのものを攻撃して破壊されるよりも被害が大きくなる可能性が高いとLheureuxは指摘する。

　ファイアウォールやウイルス対策ソフトウェアなど通常のセキュリティ製品は、悪意をもつ者が企業ネットワークに侵入するのを防いだり、マシンを使えなくするような攻撃からマシンを守ったりする。XML形式で情報を送受信するアプリケーションにおいても、従来のセキュリティ製品が監視するのと同じネットワークプロトコルを使用している。

　しかし、XMLメッセージは「Envelope（電子封筒）」に包まれて、中の情報が見えなくなっている。ほとんどのファイアウォールではEnvelopeを追跡するよう設計されているので、企業ネットワークではEnvelopeを検査するが、実はその中身までは調べていない。そのため、偽のXMLメッセージが企業ネットワークに侵入しても検知されない可能性があるとアナリストらは指摘する。このタイプの問題は比較的新しいものであることから、企業がこうした危険を完全に理解していなければ、無防備な弱点を突かれるおそれがある。

　「XML攻撃は管理者の知らない間に進行する。XMLの構造やコンテンツを悪用してXMLのエンドポイントを攻撃する方法は、大量のメッセージを送りつける以外にも複数あり、しかもそれらはまだ完全に理解されていない」とForrester ResearchのアナリストRandy Heffnerは警鐘を鳴らしている。