Web 2.0での「コピー・アンド・ペースト」の危険度

2008.01.15

Symantec Security Response Weblog

「Web 2.0 - Copy and Paste」より
December 13，2007　Posted by Nishant A Doshi

　つい最近，「『iframe』タグについて，例えば『div』タグと見分けられる人はどれくらいいるのか」という質問を受けた。筆者が推測するところ，見分けられる人はそう多くはない。普通のユーザーにとっては，iframeは米アップルの新製品のようにさえ聞こえるかもしれない。もちろんそのような類のものではない。人気のあるソーシャル・ネットワーキング・サービス（SNS）では，ほぼ例外なくユーザーのプロフィールを閲覧するとiframeのタグやコードが埋め込まれている。

　Web 2.0のセールス・ポイントはユーザー生成コンテンツ（CGM）にあるとする意見があるが，これには筆者も大いに賛成だ。ただし重要なのは，このコンテンツを「誰が，どのように生成したのか」ということだ。ほとんどの場合，答えは「コピー・アンド・ペースト」となる。この件に関して，もう少し詳しく説明しよう。

　SNSの人気が高まるにつれ，オンラインで自らのアイデンティティを表現したいと考えるユーザーがますます増えている。この表現方法は，カスタム・バイクの壁紙から，お気に入りのラップ・アーティストの楽曲，アニメーション・カーソルにいたるまでさまざまだ。では，これらのコードを作成しているのは誰なのだろう。たいていの場合，ユーザーではない。SNSの登場により，面倒な作業をユーザーの代わりに行ってくれるサードパーティのWebサイトが大幅に増えた。これらのWebサイトはSNSと連携しているわけではないが，事実上のコンテンツ提供源となっている。Googleで検索すると，このようなプロフィール作成サイトが山のようにヒットする。

　そこで筆者はサードパーティのプロフィール作成サイトの一つを訪れ，架空のプロフィール，派手に飾り立てた自分の写真，動画数本とともに，自らのプロフィールを仕立て上げた。このWebサイトは，プロフィール作成用のコードをコピーすることができ，さらにそれさえも面倒な場合は，代わりに同コードをコピー・アンド・ペーストしてくれる。ここで筆者が実際に行ったのは，SNSのアカウント情報を入力することだけだった。

　上記の処理でどこが問題か分かるだろうか。Webブラウザ・ベースの脅威が急増する中で，このようなやり方は自ら災難を招くことになる。第一に，コピーしたコードが悪質なものかもしれない。SNSの中には，ユーザーが作成した不適切なコードを上手く削除しているものもあるが，それでも悪用につながる小さな抜け穴（セキュリティ・ホール）が存在する可能性はある。例えばSNSの大半はスクリプト・コードの投稿を禁止しており，動画の投稿方法，そしてWebブラウザやシステムとのやり取りに関して，非常に厳密なルールを設けている。iframesも同様にフィルタリングし，リダイレクトを阻止している。それでも，悪意のあるANIカーソル，JPEG/GIFファイルなどをダウンロードさせるコードを示し，何も知らないプロフィール閲覧者に付け込むことはできる（米シマンテックの参考記事：Nicoloas Falliere氏の「ANI to the Extreme」）

　今日見受けられる高いレベルのWebブラウザ・ベースの脅威では，悪意あるコードは何重にも難読化されたスクリプト・コードの中に隠され，コピーの前にコードを確認する経験豊富なユーザーでも騙されてしまう可能性がある。信頼の置けないサードパーティのサイトに自らのアカウント情報を提供することも問題だ。銀行用のパスワードをSNSでも利用している人がどれくらいいるか，考えるだけで恐ろしい。

　筆者は決して，これらのサイトがすべて悪いといっているわけではない。とはいえ，一部でも悪い業者が入っていれば被害は出てくる。サードパーティ・サイトで実際に悪意のあるコードが提供されているという確固たる証拠はないが，シマンテックでは，サードパーティのプロフィール作成サイトでWebブラウザ用エクスプロイトが急増していることを確認した。したがって，これらWebサイトを訪問するだけでも，重大なリスクにさらされる可能性がある。

　今回の問題はどうやって解決すればよいのか。筆者の考えとしては，これは簡単に解決できる問題ではないし，Webブラウザ・ベースの脅威もインターネットのあらゆるところに潜んでいる。少なくともアンチウイルスや侵入防止の定義ファイルを常に最新のものにしておくことをお薦めする。さらにシマンテックでは，2008年版の製品において，Web閲覧向けの保護機能を多数搭載している。Web保護機能では，Internet Explorer（IE）の既知のぜい弱性に関するシグニチャを使って，エクスプロイト公開後はそのぜい弱性への攻撃をブロックする。これはWebブラウザ・ベースの脅威に対して非常に有効的な手段である。さらにANIファイルを侵入防止システム（IPS）やBloodhoundによって保護し，ぜい弱性に対応する。

Copyrights (C) 2007 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり，含まれている情報やリンクの正確性，完全性，妥当性について保証するものではありません。
◆この記事は，シマンテックの許可を得て，米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は，「Web 2.0 - Copy and Paste」でお読みいただけます。