世界のセキュリティ関連ブログで最近公開された記事のうち、ちょっと気になる話題を取り上げる。

 最初に、いま話題の端末関連のブログを紹介しよう。米マカフィーの「Mobile Browsers: Trouble Comes in Threes」である。米グーグルの「Android」、米ヒューレット・パッカード(HP)の「WebOS」、米アップルの「iOS」という3種類のスマートフォンOSに存在するセキュリティホールを取り上げている。異なるOSだが、いずれもWebブラウザーがマルウエアの侵入を許していたという。

 Androidのセキュリティホールは、スマートフォン内のSDカードからデータを盗むことに悪用される。攻撃者は、ローカル環境のHTMLファイルをWebブラウザー内で実行してセキュリティホールを突く。その理由は、WebページからHTMLファイルをロードさせるより制限が緩くなるからだ。アプリケーションの多くはSDカードのデータ保存パスが知られているため、攻撃者にすべて奪われる恐れがある。WebブラウザーでJavaScriptをオフにすれば回避できるが、一部のWebアプリケーションが動かなくなったり、Webブラウザーの操作性が落ちたりする。

 WebOSの特徴は、全アプリケーションがWebアプリケーションで実現される点だ。今回のセキュリティホールは、アドレス帳アプリに存在するクロスサイトスクリプティング(XSS)の問題である。これが悪用されると、コードが挿入され、メールアドレスやメール本文などを含むアドレス帳のデータベースが盗まれる可能性がある。キーロガーを組み込まれてデータを外部に送信されることもある。このXSSのバグはWebOS 2.0用の修正パッチで対策される予定だが、同OSには浮動小数点オーバーフローの問題とサービス拒否(DoS)攻撃に悪用されるセキュリティホールが残っている。

 そしてiPhoneのWebブラウザー「Safari」には、Webページ偽装に悪用可能な問題がある。SafariはWebページを読み込み終えるとアドレスバー表示を隠してしまうため、偽のアドレスバーで攻撃用ページを銀行や通販サイトに見せかけやすい。この問題を発見したセキュリティ研究者は、iPhone用のコンセプト実証(PoC)サイトを作って警告している。アドレスバーを隠すと、Webアプリケーションを通常のアプリケーションとして見せられる。これは、ユーザーだけでなく攻撃者にも便利な機能だ。

あるホスティング業者の顧客に集中した被害

 英ソフォスによると、この数週間、多くのWebサイトが悪質なJavaScriptの配信に使われているという。ソフォスはこの攻撃用スクリプトを「Mal/JSIfrLd-A」として検出する(ブログ「Large US hosting provider hit in web attack」)。

 これらのWebサイトにアクセスすると、攻撃用JavaScriptによってiframeが挿入され、外部サイトから別の悪質なコンテンツがロードされる。被害に遭ったWebサイトは、どこもブログサービス「WordPress」を利用していた。WordPressを悪用する挿入攻撃は珍しくないが、今回の被害サイトが例外なくWordPressに関係していたのは偶然だろうか。

 攻撃を受けた600弱あるWebサイトについてGeoIP情報を調べたところ、その97%が同じ一つの業者でホスティングされていた。この事実と被害サイトのWordPressバージョンがまちまちだったことから、攻められるべきはWordPressでないという。

 ホスティングサービス業者を選ぶ際にセキュリティは最優先事項でないかもしれないが、重要視した方がよい。サーバーやWebサイト、Webアプリケーションはいずれも攻撃対象になる。

WikiLeaksに対するDDoS攻撃

 最後に、このところ特に大きな話題になっている内部告発サイト「WikiLeaks」に関するブログを紹介する。米国の機密文書を公開しようとしていたは2010年11月28日(米国時間)、分散型サービス妨害(DDoS)攻撃を受けて一時的にアクセスできない状態になった。米アーバーネットワークスがブログ「Wikileaks Cablegate Attack」でこの問題を分析している。

 WikiLeaksの主要ホスティングサービス業者のトラフィックは、攻撃の影響で11月28日の午前10時5分(米東部標準時)ごろ突然2G~4Gビット/秒増えた。すぐにスウェーデンのホスティング業者へ送られていたWikiLeaksに対するアクセス要求は、アイルランドの大手クラウドサービス業者の管理下にあるミラーサイトへ転送されるようになった。

 トラフィックの2G~4Gbps増というDDoS攻撃は、大規模なWebサイトに対する最近の攻撃としては割と規模が小さい。ただしTCPとアプリケーションに対する攻撃は、はるかに少ないトラフィックで効果を発揮することが多い。

 WikiLeaksは2008年にも、スイス銀行の文書を公表する直前に500Mbps規模のDDoS攻撃を受けたことがある。