次の頭痛の種はウィジェット――Finjanの報告書から

Finjanによると、VistaにプリインストールされたウィジェットやiGoogleに用意されているウィジェットはユーザーを危険にさらす恐れがあるという。

[Lisa Vaas，eWEEK]

　最近の調査によると、ウィジェット（時計や電卓などのツールをデスクトップに並べることができる遊び感覚のグラフィカルな小型アプリケーション）はどれもセキュリティ上の問題を抱えており、新たなマルウェアの波をユーザーのシステムに招き入れようとしているという。

　これらのアプリケーションのセキュリティホールは既に明らかになっている。8月の月例パッチで公開されたMicrosoftのMS07-048アドバイザリは、Vistaの「Feed Headlines」ガジェットの脆弱性に対処した。この脆弱性は、悪質なRSSフィードやリンクを呼び込む可能性があるというもの。カリフォルニア州クパティーノに本社を置くAppleも6月、自社のブラウザエンジンであるWebKitにパッチを施した。WebKitはSafari用のエンジンとしてだけでなく、Dashboard用のエンジンとしても利用されている。Dashboardは、気象情報、株価、試合経過などのリアルタイム情報を提供するウィジェットセットである。

　カリフォルニア州サンノゼに本社を置くセキュリティ専門企業のFinjanの報告によると、VistaなどのOS、サードパーティーのアプリケーション、Webウィジェットなどさまざまなウィジェット環境において、ウィジェットやガジェットのセキュリティの欠陥を狙った新種の攻撃が差し迫っており、この騒乱を防止するにはセキュリティモデルを修正するしかないとしている。

　FinjanのMalicious Code Research Center（MCRC）は「Third Quarter Web Security Trends Report」（第3四半期Webセキュリティトレンド報告書）の中で、「すべてのウィジェット環境はセキュリティモデルに不備があり、悪質なウィジェットの実行を許すことが分かった。さらにわれわれは、ウィジェット環境で（一部はデフォルトインストールとして）既に提供されている脆弱なウィジェットも発見した。これらの例は明らかに、こういった小型アプリケーションではセキュリティに対する配慮が欠けていることを示している」と述べている。

　Finjanは以前からこの問題に取り組んでいる。ワシントン州レドモンドに本社を置くMicrosoftは、MS07-048パッチに対する同社の貢献を認めている。また、Finjanの研究者であるアビブ・ラフ氏とイフタック・イーアン・アミット氏は8月5日、「Defcon」カンファレンスにおいて「The Inherent Insecurity of Widgets and Gadgets」（ウィジェットとガジェットに固有のセキュリティ欠陥」と題された講演を行った。

　Finjanによると、ウィジェットとガジェットは、HTMLライクなプレゼンテーション／レンダリング手法やJavaScriptライクなAPIなどのWebモデルが基本的なベースになっている。このため、これらがシステムにもたらす脆弱性の種類が、Web上に存在するものと類似しているというのも驚くに当たらないという。しかしウィジェット／ガジェット用のエンジンは、その下にあるOSと非常に広範な接続機能を共有しているため、脅威はいっそう大きなものになる。少なくともこれは、OSネイティブのウィジェットやサードパーティーのウィジェットエンジンを利用するウィジェットについて当てはまるとしている。

　「これにより、デフォルトでローカルリソースへの特権的アクセスを獲得できる強力な攻撃ベクター（媒介物）が提供される」とFinjanは指摘する。

　Finjanではこれまで、多数のセキュリティ上の弱点を発見した。その後で修正された弱点の1つが、Vistaのサイドバーの全バージョンにプリインストールされている「Contacts」ウィジェットの脆弱性である。攻撃者は、不正な形式でありながら無害を装った連絡先情報を提供することにより、ターゲットになったシステム上でその連絡先を表示させるだけで、そのマシン上でコードを実行することができる。その際、ユーザーによる操作は必要とされない。

　Microsoftの「Live.com」でも脆弱性が発見された。Live.comはカスタマイズ可能な新しいポータルで、RSSフィードの最新の見出し、Hotmailアカウントの受信ボックスの内容の要約、地域の天気予報などを表示する。Live.comのRSSリーダーウィジェットには、攻撃者からのデータフィードを通じて悪質なコマンドを招き入れるという脆弱性があった。攻撃者はこの欠陥を利用して、ユーザーアカウントから特権情報へのアクセスを入手することにより、そのユーザーになりすまし、ブラウザを乗っ取ることができる。

　Yahoo!のウィジェットエンジンにもセキュリティの不備があったことが分かっている。「Konfabulator」エンジンをベースとする同技術は、サードパーティーアプリケーションとしてインストールすることができ、ネイティブのウィジェットエンジンを備えていないOSにウィジェット機能を提供する。Finjanによると、以前、Yahoo!のウィジェットエンジンでは「Contacts」ウィジェットに脆弱性があり、攻撃者は不正なスクリプトを実行させることができたという。

　Finjanでは、ウィジェットやガジェットを通じた攻撃が増加すると予想している。iGoogle、Live.com、Yahoo!、Vista、Mac OS上で利用できるなど、ウィジェットやガジェットは広範に普及しているからだ。

　FinjanのMCRCでは、信頼できないサードパーティーのウィジェットは使わないこと、そしてシステムをコントロールする力を持った本格的なアプリケーションとしてウィジェットを扱うようユーザーにアドバイスしている。また、インタラクティブなウィジェットの使用に際しては注意が必要だとしている。この種のウィジェットは、RSSや気象情報といった外部からのフィードを利用するため、信頼されたコンテンツに悪質なペイロード（コード）を便乗させるチャンスを攻撃者に与える可能性があるからだ。

　セキュリティポリシーに関しては、Finjanはウィジェットおよびウィジェットエンジンに対して厳格なポリシーを適用すべきだとしている。「ウィジェットは重要な業務アプリケーションや生産性向上ツールとは見なされないため、従業員によるウィジェットやガジェットの利用は制限すべきだ」とMCRCは報告書に記している。またFinjanによると、ウィジェットやガジェットはゲートウェイでブロックすることにより、社内ネットワークから遮断すべきだという。

　「ベンダーもユーザーも、あらゆゆるアプリケーション、たとえビジュアルなエンターテインメント用として作成された小さなアプリケーションであっても、セキュリティに対する潜在的脅威になるという認識を持たなければならない」とMCRCの報告書は指摘する。

　「ウィジェットやガジェットの脆弱性は、攻撃者がユーザーのマシンを支配することを可能にする。このため、ウィジェットやガジェットは、ユーザーがそのメリットを享受できるようにするために、セキュリティを念頭に置いて開発すべきである。この攻撃ベクターは業界に大きな影響を与える可能性があり、企業は広範囲にわたる新たなセキュリティ懸念に早急に対処しなければならない。企業に必要なのは、こういった環境の変化に対処することができ、コードをリアルタイムで分析し、これらの斬新な攻撃ベクターに含まれる悪質なコードを検出することによって万全の防御を提供するセキュリティソリューションだ」（同報告書）

原文へのリンク