RSS リーダーに悪用の危険性、専門家が指摘

RSS はコンテンツを配信するための素晴らしい技術だが、一方で、攻撃を配信するシステムとして悪用される危険もはらんでいる。

セキュリティ問題に関する年次カンファレンス『Black Hat USA 2006』(7月29日から8月3日) が開催され、Web アプリケーションセキュリティ会社 SPI Dynamics の調査開発エンジニア Robert Auger 氏が、RSS および Atom フィードの悪用例を明らかにした。

Auger 氏によれば、Web ベースおよびローカルな RSS リーダーの両方をテストした結果、どちらのプラットフォームでも、悪意ある人間が細工したコードを仕込むことで、ユーザーの認証情報、クッキー、キーボード入力の記録その他の情報を窃取することが十分可能だと判明したという。

RSS を悪用するための主な手段は2つある。1つは、フィードの所有者が悪意を持っていて、自らのフィードにコードを仕込むというものだが、Auger 氏の見解では、この方法はそれほど一般的ではないという。

また、誰かの Web サイトを改ざんするより、フィードに攻撃を仕込むほうが、攻撃者にとっては得策だと Auger 氏は指摘する。そうすれば、サイトの全購読者まで「所有」できるからだ。

RSS の配信機能は、潜在的にそれほど危険性が高い。人気の高さゆえ、一度悪用されれば、何千何万のユーザーに被害を及ぼす攻撃媒介となり得る。

Web ベースのリーダーは特に SQL インジェクション、コマンド実行、サービス不能化 (DoS) 攻撃といった、様々な攻撃を受けやすい。

また、多くのローカル RSS リーダーはファイルシステムに簡単にアクセスできるため、ローカルネットワークをポートスキャンして、リレー攻撃に使われる可能性がある。

Web ベースの RSS リーダーの中では、特に『Bloglines』がコードを仕込まれる危険が高いと Auger 氏は指摘している。

ローカルリーダーでは、『RSSReader』『RSSOwl』『FeedDemon』『SharpReader』の名前が挙がった。Auger 氏によれば、ベンダーとの間で確認作業が終了していなかったり、まだ連絡を取っていないベンダーもあり、それらについて名前を挙げることは控えたいため、脆弱性のあるリーダーのリストは現時点では未完成だという。