ITmedia NEWS > 速報 >

SNSにワーム仕掛けて友達数千人を水増し

» 2005年10月18日 08時10分 公開
[IDG Japan]
IDG

 米ロサンゼルス在住のティーンエージャーが、ダイナミックWebサイトの大部分に共通するスクリプティングの脆弱性を突いた自己増殖型のワームを使い、コミュニティーWebサイトのMySpace.comで最大の人気メンバーにのし上がった。攻撃による被害はほとんどなかったものの、インターネットセキュリティ企業によれば、この手口はWebサイトのデータ破壊や個人情報盗難に使われる可能性があり、保護されたネットワーク内にいるエンタープライズユーザーでさえも被害に遭う恐れがある。

 「サミー」を名乗る19歳のこのユーザーは、MySpaceで自分のユーザープロファイルに小さなコードを挿入した。MySpaceはメンバー数3200万で大半が30歳未満。サミーのプロファイルが参照されるたびにこのコードがバックグラウンドで実行され、その参照者の友達リストにサミーが追加されて、プロファイルの末尾に「サミーは私のヒーローです」という文面が加わるようになっていた。

 「これは同サイトそのものを使った、サイトユーザーに対する攻撃だ」。米WhiteHat SecurityのCTO、ジェレミア・グロスマン氏はこう解説する。

 このワームは各ユーザーのプロファイルに自らをコピーする形で拡散。MySpaceの人気に乗じて(comScore Media Metrixによれば9月のページビューは95億で、Webで4番目の人気サイトとなっている)、このワームは急速に広がった。サミーは自分のサイト「http://namb.la/popular/」で、10月4日の深夜過ぎにこのワームを放ったと記している。13時間後には2500人以上の“友達”が追加され、友達になりたいという自動リクエスト6400通を受け取った。

 サミーには腹を立てたMySpaceユーザーからのメールも数百通届いた。MySpaceからサミーに連絡はなかったが、サミーのアカウントは削除された。MySpaceは7月に、ルパート・マードック氏のNews Corp.に5億8000万ドルで買収されている。MySpaceにコメントを求めたが返事はなかった。

 この攻撃には、以前から知られていながらほとんど対策が取られていない、クロスサイトスクリプティング(XSS)という脆弱性が使われた。XSSは、単純なHTMLコードだけでなく、ユーザーがWebサイトのソースコードを操作できるダイナミックなWebサイトが多いことから発生する。

 FirefoxとInternet Explorerは次期バージョンでセキュリティ強化を施すと約束しているが、それによりXSS問題がすべて解決できるかどうかは疑わしいとグロスマン氏。

Copyright(C) IDG Japan, Inc. All Rights Reserved.