ラスベガス発--RSSやAtomフィードを経由してブログを読むことで、コンピュータ利用者はハッカーの攻撃にさらされる可能性があると、セキュリティ専門家が警告する。
攻撃者はRSSまたはAtomフォーマットとしてユーザーに転送されるデータフィードに悪質なJavaScriptを挿入することができると、ウェブセキュリティ企業SPI Dynamicsでセキュリティエンジニアを務めるBob Auger氏は米国時間8月3日、当地で開催されたセキュリティイベントBlack Hatにおけるプレゼンテーションの中で述べた。
この問題はブログに影響を及ぼすだけではない。これは、どんなタイプの情報フィードであれ、悪質コンテンツを受信者に転送するために悪用される可能性があると、Auger氏は言う。例えば利用者は、RSS経由でメーリングリストやニュースウェブサイトの情報を受信することができ、「これはウェブフィードのコンセプト全体に関わる問題である」と同氏は指摘した。
SPI Dynamicsは、RSSとAtomフィードを読むために利用される多くのオンラインおよびオフラインのアプリケーションを調査した。すると多くの場合、フィードで提供されるJavaScriptコードは利用者のPC上で動作したという。これはこの仕組みが攻撃に対して脆弱である可能性を意味していると、Auger氏は言う。JavaScriptは、ますますセキュリティ上の懸念が高まっているスクリプト言語であると、専門家らは述べている。
攻撃者は、悪質なブログを立ち上げて、利用者がそのRSSフィードを受信するように誘い込むことで、この問題を悪用することができる。さらに攻撃者は、悪質なJavaScriptを信頼性の高いブログのコメントに追加する可能性が高いと、Auger氏は言う。「多くのブログが利用者のコメントを取り上げ、それを自らのRSSフィードに挿入している」(Auger氏)
攻撃者はまた、RSSまたはAtomフィードを提供するメーリングリストに悪質なコードを送り込み、脆弱なシステムを乗っ取ることもできると、Auger氏は言う。フィードは、ブログなどの複数のサイトから得られる情報を1つのアプリケーションに統合することを可能とするために、人気を呼んでいる。このアプリケーションはフィードリーダーと呼ばれ、これを利用することによりユーザーは複数のサイトをブラウズする必要がなくなる。
Auger氏によると、人気の高いフィードリーダーの多くに脆弱性が存在するのは、開発者がセキュリティチェック機能を付加しなかったためだという。フィードリーダーは、JavaScriptを起動するべきではないうえ、そもそもフィルターにかけて除去すべきであるという。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」