「Web 2.0」導入が進む中、後回しにされるセキュリティ

　「Web 2.0」は、ウェブサイトで実現できることの限界を拡張する新技術として、導入が急速に進んでいる。しかし、機能を追加しようと急ぐあまり、セキュリティが後回しにされていると、専門家は指摘する。

　Web 2.0の流行には、高額な参加費のカンファレンス、大量に生まれる新興企業、革新的な企業（「MySpace」を保有していたIntermix Mediaや「Writely」を開発したUpstartleなど）の巨額買収といった特徴から、1990年のインターネットブームを思い起こさせるところがある。そして、また別の面でこうした既視感をいっそう強く抱いている専門家たちもいる。デスクトップソフトウェアが登場して間もない頃と同じように、開発の推進力となっているのはすべて機能に関することで、セキュリティの確保はおろそかにされていると、専門家たちは話す。

　ウェブセキュリティ企業のSPI Dynamicsでリードエンジニアを務めるBilly Hoffman氏は、次のように述べている。「われわれは、セキュリティを後回しにすることで同じ誤りを繰り返している。企業は（Web 2.0の）大合唱に引き込まれ、ウェブアプリケーションのさまざまなアイデアを組み合わせている。だが、セキュリティについては考えていないし、ユーザーを著しく危険にさらしていることも認識していない」

　ネット上で表面化した脅威のうち、とくによく知られているものに、「Yamanner」「Samy」「Spaceflash」という3種類のワームがある。Yamannerは「Yahoo Mail」を攻撃対象とするワームで、アドレスブックからメールアドレスを収集し、すべてのアドレスに自身のコピーを転送する。SamyやSpaceflashは、人気のソーシャルネットワーキングサイトMySpaceのサービスを介して感染を拡大し、ユーザーのプロフィールのページを変更してしまう。

　Web 2.0に厳密な定義はない。たいていの場合Web 2.0は、従来のシンプルで静的なページにはない要素を含むウェブサイトを指す包括的な語として使われている。Web 2.0のサイトは、よりインタラクティブで、たとえば、オンラインで投稿された写真にタグを付けることができる。従来のウェブサイトとは異なり、デスクトップアプリケーションによく似た使用感を提供できる。

　このような動的で派手な印象のウェブサイトを可能にしている重要な要素の1つは、「Ajax」--「Asynchronous JavaScript + XML」の略称--と呼ばれるプログラミング手法だ。2005年に立ち上げられた「Google Maps」は、広範なネットユーザーにAjaxによる開発手法の恩恵を示したウェブアプリケーションの先駆的存在と言える。Google Mapsでは、マウスのドラッグ操作で、ページをリロードすることなく画面上の地図画像の移動が可能だ。

　しかしAjaxは、Webページやサイトをよりインタラクティブにするのに役立つだけではない。専門家によると、Ajaxは悪意を持ったハッカーに、ウェブサーバーを攻撃し、そのサイトを利用して訪問者に被害を与える手段をもたらす可能性もあるという。

　Ajaxを活用したサイトはブラウザとの情報のやりとりが多く、クライアントパソコン上でJavaScript（ウェブサイトでよく利用されるスクリプト言語）を実行することもあるため、「攻撃にさらされる面」が大きくなる、とHoffman氏は指摘する。これと対照的に、従来型のウェブサイトではたいていの場合、フォームを介して情報を受け取る。

　Ajaxを利用することによって、いわゆるクロスサイトスクリプティング脆弱性が生じる可能性も高まるという。これは、サイトの開発者がウェブページのコーディングを適切に行っていない場合に発生する。攻撃者はこのような脆弱性を利用してユーザーアカウントを乗っ取り、情報を盗み取るフィッシング詐欺を働いたり、ユーザーのパソコンに悪意のあるプログラムを送り込んだりする可能性があるという。Microsoft、eBay、Yahoo、Googleといった大手企業のウェブサイトは、軒並みクロスサイトスクリプティングに対する脆弱性を指摘されたことがある。