Ajaxが招く新たなセキュリティリスク（1/2 ページ）

SPI Dynamicsの研究者によると、未熟なプログラマによるAjaxの実装が深刻な脆弱性を作り出す可能性がある。Black Hatからのレポート。

[Matt Hines，eWEEK]

　ラスベガス発――オンライン企業間におけるAjax（Asynchronous JavaScript and XML）技術の普及が急速に進み、Webサイトのインタラクティブ性の向上に一役買うようになった。一方で、経験の浅いプログラマが製作したサイトに潜む数多くの脆弱性が、Web 2.0技術の今後のセキュリティに影を落としているという。

　7月31日から8月3日にかけて開催されたセキュリティカンファレンス「Black Hat」で講演を行ったビリー・ホフマン氏は、アトランタに拠点を置くセキュリティソフトウェアメーカー、SPI Dynamicsの研究施設で、主任リサーチエンジニアを務めている人物である。同氏は講演の中で、ごく一般的なAjaxアプリケーションの現在の開発過程には複数の欠点が見られると述べ、その概要を説明した。

　Ajaxは、JavaScriptプログラミング言語の拡張的な実装形態を指し、ブラウジングソフトウェアと、WebサイトのバックエンドにあるWebサーバの間の情報交換を自動化することによって、Webサイトの反応性を高める技術だ。

　例えばAjaxでは、ブラウザの画面を更新しなくとも、ユーザーの受信ボックスに新着メッセージを自動的にダウンロードできるWebメールサイトなどを構築できる。「Google Maps」や「Yahoo」「MySpace」などの有名サイトも、すでにさまざまな方法でAjaxツールを利用している。

　ホフマン氏によると、企業はAjaxツールを取り入れて自社サイトやWebアプリケーションを改良しようと躍起になっている。しかし、未熟な開発者ではAjaxサイトに適切な保護を施すことができず、一方で攻撃者はAjaxのメリットを自らの利益とする方法を学びつつあることから、深刻な脆弱性が多数存在する事態が引き起こされるかもしれないという。

　「従来のアプリケーションと比べ、Ajaxアプリケーションにははるかに多くの攻撃の可能性が浮上している。Ajax人気の沸騰にともない、セキュリティに関する懸念が大きくなっているが、開発者が利用できる知識基盤や各種のリソースは乏しい」（ホフマン氏）

　Ajax開発に取り組む開発者が増えれば増えるほど、保護が不十分なサイトも増加し、悪質な攻撃を仕掛ける機会を攻撃者に広く提供することになると、ホフマン氏は警鐘を鳴らしている。

　同氏はまた、Ajaxのさらなる普及が見込まれる今後数年間で、YahooのWebメールシステムを襲ったYamannerウイルスや、人気の高いソーシャルネットワーキングサイト、MySpaceのユーザーを標的とするSamyワームのようなタイプの攻撃が蔓延するだろうと予測した。

　一般に、やや旧式のWebアプリケーションはバックエンドサーバ上のデータを用いるが、Ajaxではプログラムがクライアントデバイスおよびサーバの両方に拡張される。このため、ハッカーがサイトにマルウェアを送り込むチャンスが大きくなる。

　従来のオンラインフォームを使ってWebサイトに情報を送る場合は、送信ボタンなどを押す必要がある。このとき、マルウェアプログラムの影響を受ける恐れがあるのはこうした通信だけだが、Ajaxに対応したフォームでは、データが各フィールドに入力されるたびに自動的に転送される。したがって、ウイルス作者は複数の通信を攻撃の足がかりとすることができるというわけだ。

　Ajax開発者が作り出してしまった欠陥を悪用すれば、ハッカーはWebアプリケーションそのものへのアクセスを奪うことが可能になり、ひいてはオンラインビジネスが大混乱状態に陥ると考えられる。

　「今や（攻撃者は）アプリケーションの内部に身を隠し、Webサイトのあらゆる関数名や変数、パラメータを盗み出すための経路をせっせと切り開いている」（ホフマン氏）