Ajaxが招く新たなセキュリティリスク（2/2 ページ）

[Matt Hines，eWEEK]

　Ajaxは、いわゆるクロスサイトスクリプティング攻撃を助長する要因ともなる。

　クロスサイトスクリプティング攻撃とは、正規のWebサイト上で何らかのコードを実行し、ユーザーをだましたり、情報を盗んだりする行為を言う。そのほか、やはりユーザーのデータを持ち去ることを目的とする、スクリーンスクラッピングやセッションハイジャックといった類の攻撃も、Ajaxのセキュリティホールを衝くことで仕掛けやすくなる。

　攻撃者は、表面には現れてこないAjaxの機能を悪用し、Webサイトに複数のデータストリームを送信させるよう操作して、自らの攻撃の有効性を高めている。そうすることで、部外者という立場にいながらより機密性の高い情報を取得できると、ホフマン氏は話した。

　「Webサーバとは関係なく、最近のブラウザであればAjaxを表示できるようになっているが、この点が非常に深刻な問題を引き起こしている。Ajaxでホストにしか返信できないよう設定していたとしても、スクリプティング攻撃を仕掛ける余地は残されており、リスクはある。二要素認証が採用されていなければ、あらゆるログインシーケンスを介しての攻撃が実行できる」（ホフマン氏）

　ホフマン氏は、適切な保護対策の適用方法をプログラマに示していないという理由から、Ajax開発のマニュアル発行者に対しても直接的な批判をぶつけている。経験の乏しいAjaxプログラマが、広く利用されているAjaxコードを自作プログラムに組み入れることは珍しくないが、これが問題をいっそう悪化させることになると、同氏は警告した。

　ホフマン氏が発見した、Microsoftの「Atlas」開発ツールキットを標的とするAjax攻撃例についてのプレゼンテーションには、Black Hatの参加者らも大いに興味を引かれたようだった。

　オーストラリアのメルボルンにあるNational Australia Bankのセキュリティーアーキテクト、アンドリュー・バンデール・ストック氏は、人気の高いWebサイトに対する大規模な攻撃が発生し、収益に多大な悪影響がおよぶ恐れがあると認識されれば、企業はAjaxの不適切な採用に付随するリスクを実感し、闇雲にこの技術を取り入れることを再考するのではないかと話した。

　「危険度の高いワームが大手サイトをいっせいに攻撃するようになるまでは、人々は事の重大さに気づかないだろう。ユーザーはAjaxを求めており、今日の企業はそうした需要を満たすのに必死になっている。Ajaxの普及は鈍化しそうにないが、大半のAjax開発者はセキュリティについて何も知らないというのが現状だ」（バンデール・ストック氏）

　カンファレンス参加者の中には、Ajaxのセキュリティ問題に対する認識が高まるにはまだ時間がかかるという考えに同調しつつも、セッションで紹介された問題のほとんどは、一度認識してしまえばすぐに解決できるものだと考える者もいた。

　「Webを介したプログラミングには相応の配慮が必要になるが、問題の修復は非常に簡単で分析も容易だ」と述べたのは、カリフォルニア州マウンテンビューのMozillaで、特別プロジェクト担当ディレクターを務めるクリス・ホフマン氏だ。

　「問題を修復するプログラムの配布も、クライアントソフトウェアよりはるかに迅速に行える。Ajaxが持つセキュリティ上のアドバンテージは少なくない」（クリス・ホフマン氏）

原文へのリンク