セキュリティ専門家、ブログのフィードに対する脆弱性を警告

　ラスベガス発--RSSやAtomフィードを経由してブログを読むことで、コンピュータ利用者はハッカーの攻撃にさらされる可能性があると、セキュリティ専門家が警告する。

　攻撃者はRSSまたはAtomフォーマットとしてユーザーに転送されるデータフィードに悪質なJavaScriptを挿入することができると、ウェブセキュリティ企業SPI Dynamicsでセキュリティエンジニアを務めるBob Auger氏は米国時間8月3日、当地で開催されたセキュリティイベントBlack Hatにおけるプレゼンテーションの中で述べた。

　この問題はブログに影響を及ぼすだけではない。これは、どんなタイプの情報フィードであれ、悪質コンテンツを受信者に転送するために悪用される可能性があると、Auger氏は言う。例えば利用者は、RSS経由でメーリングリストやニュースウェブサイトの情報を受信することができ、「これはウェブフィードのコンセプト全体に関わる問題である」と同氏は指摘した。

　SPI Dynamicsは、RSSとAtomフィードを読むために利用される多くのオンラインおよびオフラインのアプリケーションを調査した。すると多くの場合、フィードで提供されるJavaScriptコードは利用者のPC上で動作したという。これはこの仕組みが攻撃に対して脆弱である可能性を意味していると、Auger氏は言う。JavaScriptは、ますますセキュリティ上の懸念が高まっているスクリプト言語であると、専門家らは述べている。

　攻撃者は、悪質なブログを立ち上げて、利用者がそのRSSフィードを受信するように誘い込むことで、この問題を悪用することができる。さらに攻撃者は、悪質なJavaScriptを信頼性の高いブログのコメントに追加する可能性が高いと、Auger氏は言う。「多くのブログが利用者のコメントを取り上げ、それを自らのRSSフィードに挿入している」（Auger氏）

　攻撃者はまた、RSSまたはAtomフィードを提供するメーリングリストに悪質なコードを送り込み、脆弱なシステムを乗っ取ることもできると、Auger氏は言う。フィードは、ブログなどの複数のサイトから得られる情報を1つのアプリケーションに統合することを可能とするために、人気を呼んでいる。このアプリケーションはフィードリーダーと呼ばれ、これを利用することによりユーザーは複数のサイトをブラウズする必要がなくなる。

　Auger氏によると、人気の高いフィードリーダーの多くに脆弱性が存在するのは、開発者がセキュリティチェック機能を付加しなかったためだという。フィードリーダーは、JavaScriptを起動するべきではないうえ、そもそもフィルターにかけて除去すべきであるという。