Ajaxなどの新しいWeb開発ツールを使ったマルウェア攻撃は、もっと頻繁に行われるようになるだろう。不正コードの作者は、これらツールを使う合法的なプログラマーに匹敵するスキルを持っている。
6月13日にYahoo! MailをターゲットにしたYamannerワームが登場したことを受けて、業界アナリストやセキュリティソフトベンダーは、Web2.0の脅威とでも言えそうなものの時代が到来したと話している。
Ajax(Asynchronous JavaScript and XML)はJavascriptとXMLの要素を組み合わせて、Webサイト開発者がサイトをよりインタラクティブにできるようにする。これは攻撃を増幅させるのに容易に利用できるという点で専門家の間では意見が一致している。
YamannerはYahoo! MailのJavascriptコードの脆弱性を突く際に、Ajaxを使ってペイロード隠し、広める。このJavascriptの問題はよくあるクロスサイトスクリプティングの脆弱性だが、Yahoo!がWeb2.0技術を採用しているために、このワームはユーザーが何もしなくても感染を広げることができる。Ajaxはアドレス帳の情報を盗み、ほかのアドレスにワームを転送するのに使われる。
Yamannerや昨年10月にNews Corp.のSNSサイト「MySpace」をダウンさせた同様の攻撃も含め、この種の脅威が大きな話題になることはほとんどなかったが、さらなるAjaxワームや同様の脅威が現れるのは避けられないようだ。
「Ajaxを皆にとってもっと安全なものにするために、Ajaxの活用を進める前に解決しなくてはならない開発者の教育問題がある」とYankee Groupのアナリスト、アンドリュー・ジャキス氏は指摘する。「今は初期の段階だが、これらはマルウェア作者に注目されるようになり、ほとんどの人気のAjax実装が最初にターゲットにされるだろう」
興味深いことに、Ajax技術の早期採用者には、MicrosoftやYahoo!など比較的よくマルウェア攻撃の標的になっている企業に加え、AppleやGoogleなどこれまで大規模な攻撃を避けてきた企業が含まれる。自社のアプリケーションをWeb2.0の脅威に対して徹底的にテストすることがこれら企業の責務になるだろうとジャキス氏は言う。
ほかのアナリストも同意見だが、Ajaxやその他のWeb2.0開発戦略が、今既に困難になっている環境よりも大規模なセキュリティ問題になることはないだろうと論調を和らげている。
「これらはWeb2.0の危険性の最初の例だが、Javascriptは非常に人気があり、そしてセキュリティの点で最も評判がいいというわけではない」とGartnerのアナリスト、ピーター・ファーストブルック氏は語り、Javascriptはそれでも広く使われていると指摘する。「Web1.0を守るセキュリティさえ不十分なのだ。あまりこの問題に注目しすぎるのは見当違いかもしれない。とは言え、これはこの先、もっと大きな要因になるだろう」
セキュリティソフトベンダーも、Web2.0の脅威の展開に慎重に目を光らせている。マルウェア作者は今もスパマーやウイルス作者に売れる情報を見つけることに力を入れており、電子メールやIMのアドレス情報を収集する新手法を作り出すことがマルウェアの主な目的の1つだとベンダー各社は指摘する。
Webサイトやオンラインアプリケーションの開発者が静的で同期的なサイトから自らアップデートする非同期的なサイトへと移行するためにAjaxを採用すると、マルウェア作者にとっては自分のコードを使う大きなチャンスができることになると、Secure Computingの戦略アカウント担当副社長ポール・ヘンリー氏は語る。
「ソフトが高度になるにつれて、ブラックハット(悪玉ハッカー)のチャンスも増えるのは避けられないことだ。この種の不正な活動には元手が掛かっているため、当面はブラックハットの方が一歩先を行く可能性があると言っていい」(同氏)
IMシステムや電子メールアカウントのハッキング以上に懸念されるのは、Web2.0の脅威がホスティング型オンラインビジネスアプリケーションに及ぼす影響かもしれない。たいていは最前線のAjax採用者、つまり多くのSAAS(サービスとしてのソフト)提供会社が、知らないうちにこのような攻撃を受けることになるだろう。
中央管理されたWebベースのビジネスアプリケーション(オンラインセキュリティツールも含む)は、サイバー犯罪者にとってはもうけになる標的に見えるだろう。
「誰かがこのようなアプリケーションの攻撃方法を考え出せたら、マルウェアがサーバファーム内に広がり、深刻な問題になる可能性がある」とPanda SoftwareのCTO(最高技術責任者)のパトリック・イノホサ氏は話す。「非クライアント側アプリケーションは、デスクトップに操作するアプリケーションを置き、Webに操作がずっと難しいアプリケーションを置けるという点で、二重の問題になる」
一方、ホスティング型アプリケーションが約束する大きなアドバンテージの1つは、ツールを中央管理することで攻撃に対処できるという点だ。デスクトップ指向のアプリケーションはデバイスごとに頻繁にアップデートしなくてはならない。
「開発を強化する技術はなんであれ、善のプログラマーと悪のプログラマーの両方に恩恵をもたらすというのは全くの真実だ」とKaspersky Labの上級技術コンサルタント、シェーン・カースン氏は語る。「コンセプト実証コードを成功させるあらゆるアプローチが、マルウェア作者が最も関心を持っていることだ」
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
Special
PR