SNSがXSS攻撃の格好の標的に――F-Secure

MySpaceを狙った攻撃が相次いだことを受け、F-Secureがほかの人気SNSを調べたところ、ワーム作成に利用できる脆弱性が幾つも見つかったという。

» 2006年07月29日 07時27分 公開
[ITmedia]

 人気ソーシャルネットワーキングサイト(SNS)のMySpaceを標的とした攻撃が相次いで浮上する中、セキュリティ企業のF-Secureは、ほかのSNSにもこうした攻撃に悪用されかねない脆弱性が多数存在すると報告した。

 F-Secureによると、Webサイトに存在するクロスサイトスクリプティング(XSS)の脆弱性を突いたWebアプリケーションワームが、新手のマルウェアとして浮上。SNSが格好の標的になっており、MySpaceを標的としたワームは既に2件出現しているという。

 このうち昨年10月に問題になった「Samy」はMySpaceで勝手に友達を増やしてしまうワーム。数日前に登場した「Flash」ワームはFlashの脆弱性を突いて、ユーザーをわいせつサイトに誘導してしまう。MySpaceでは、悪質なバナー広告がサイトに掲載され、マシンにパッチを当てていないユーザー100万人以上にアドウェアがばらまかれる事件も発生した。

 F-Secureではこうした事態を受け、ほかの人気SNSでも「ワーマブル」なXSSの脆弱性への対応状況を調査した。合わせて8000万人が利用している2つの人気SNSについて調べたところ、短時間で両サイト合わせて10件以上のワーマブルな脆弱性が見つかったという。

 調査はそこで打ち切ったが、さらに多くの穴が存在するのは間違いないとF-Secure。JavaScriptをかじった程度の攻撃者でも、1日も費やせばこうした脆弱性を使ってワームを作成できてしまう可能性があるという。

 短時間で大量のユーザーが被害に遭いかねないフィッシング攻撃やWebアプリケーションワームが登場している現在、XSSの脆弱性の危険性は増しており、Webアプリケーションデベロッパーはセキュリティについて真剣に取り組む必要があると警鐘を鳴らしている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ