コラム
» 2006年09月20日 09時17分 UPDATE

RSSのセキュリティはどうなっている?

既にマストな機能になっているRSS。だが、そのセキュリティについて疑問を投げ掛ける声も上がっている。

[Jim Rapoza,eWEEK]
eWEEK

 eWEEK Labsで次世代ブラウザ、OS、コラボレーションツール、その他双方向アプリケーションを評価していると、ある機能が何度も何度も登場する――RSSフィードの統合だ。

 RSSの統合は、既に多数の製品でマストな機能になっている。RSSが統合されていないのは、まるでWebをまったく使えないかのようだ。

 多くの開発者や企業が大挙してRSSのサポートに走っている理由は理解できる。ブログやポッドキャスティングなどのコアなWeb2.0製品の配信方法として人気があるのに加え、RSSフィードはコンテンツ、ファイル、さらにはアプリケーションと幅広いものを配布する信頼できる手段として大きな可能性を秘めている。

 しかしこの1年ほど、多くの人が重要な疑問を投げ掛けるようになってきた。「RSSは安全なのか?」と。

 2〜3カ月以内に――MicrosoftがInternet Explorer(IE)7とWindows Vistaをリリースする前にこの疑問に答えることは不可欠だ。IE 7は初心者もRSSフィードを簡単に購読できるようにし、VistaはRSSサポートを組み込んでいる。これら製品のRSS機能を悪用する方法を探すマルウェア作者が出てくるだろう。

 最も単純に考えると、RSSにはセキュリティ対策を難しくするようなものは何もない。RSSはXMLをベースに、標準的なインターネット転送技術を使っているため、Webベースのコンテンツを保護するのに使われている認証技術や暗号化技術をすべて利用できる。

 しかし、RSSは不正なデータ――つまりスパムやトロイの木馬、スパイウェアなど――の大きな通り道になる可能性がある。

 ほかの多くのWeb2.0技術は、既にそれぞれスパムに取り組んでいる。最近のある調査報告は、ブログの大半は実際にはスパムブログ(スプログ)であると伝えている。

 1対1では、RSSを介してスパムを送りつけるのは難しい。あるフィードから大量のスパムが送られてきたら、ユーザーは単にそのフィードの購読を解除するだろう。しかしフィード収集サイトの利用が増えれば、進取的なスパマーが合法的なフィードを介して不正なソフトをばらまく方法を見つけ出す可能性は高くなる。検索キーワードに基づく自動収集ツールは、さらにスパムに悪用される可能性が高い。

 RSSはほぼ確実にスパム問題に直面することになるが、わたしの見解では、今の電子メールほど深刻にはならないだろう。

 RSSに関して言えば、セキュリティについてもっと心配なのは、RSS enclosureタグの誤用だ。

 enclosureタグはフィードを介してファイルを配布できるようにするもので、ポッドキャスティングやビデオキャスティングを可能にしている。これをRSSに実装する方法は非常に柔軟だ。RSSフィードはファイルの種類を気にしておらず、enclosure内で指定されるファイルはMP3ファイルでもMPEGファイルでも構わない――(ここで不吉なBGM)実行可能ファイルでもだ。

 ウイルスやスパイウェアのようなマルウェアをRSSフィードのenclosureタグを介してばらまくのを止められるものはない。そんなことは起こり得ないと言う人もいる。フィードからコンテンツの出所が分かるからだという。だが、Webサイトを介してマルウェアを配布する最近の実験では、不正なコンテンツを正規のサイトに載せるのは、悪党にとって難しいことではないと示された。

 これまで、RSSがセキュリティ攻撃の手段として利用されるケースは多くなかった。だがRSSがIEやWindowsの一部になったら、すべてが変わるだろう。

 ではどうすればいいのだろうか? 企業はRSSの購読を禁止するべきなのか? RSS標準を変更して、ハッカーにとってもっと魅力の薄いものに(そして皆にとってあまり便利でないものに)するべきだろうか?

 そうは思わない。RSSコミュニティーの多くの人々は、しばらく前からこの問題について議論してきた。RSSアグリゲータやツールのベンダーもフィードの異常な動きの検出を容易にする対策を取っている。わたしたちは決して、この有望な技術の機能性を損なうことは望んではいない。

 RSSフィードは完全に安全というわけではない。では聞くが、インターネットベースの技術とは何だ?

 RSSフィードに関連するセキュリティ問題が出てくるのは避けられないことだ。だがユーザー、ベンダー、RSSコミュニティーが用心している限り、RSS自体がセキュリティ問題になることはない。

原文へのリンク

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -