RSS リーダーに悪用の危険性、専門家が指摘

この記事のURLhttp://japan.internet.com/webtech/20060804/10.html

RSS はコンテンツを配信するための素晴らしい技術だが、一方で、攻撃を配信するシステムとして悪用される危険もはらんでいる。

セキュリティ問題に関する年次カンファレンス『Black Hat USA 2006』(7月29日から8月3日) が開催され、Web アプリケーションセキュリティ会社 SPI Dynamics の調査開発エンジニア Robert Auger 氏が、RSS および Atom フィードの悪用例を明らかにした。

Auger 氏によれば、Web ベースおよびローカルな RSS リーダーの両方をテストした結果、どちらのプラットフォームでも、悪意ある人間が細工したコードを仕込むことで、ユーザーの認証情報、クッキー、キーボード入力の記録その他の情報を窃取することが十分可能だと判明したという。

RSS を悪用するための主な手段は2つある。1つは、フィードの所有者が悪意を持っていて、自らのフィードにコードを仕込むというものだが、Auger 氏の見解では、この方法はそれほど一般的ではないという。

また、誰かの Web サイトを改ざんするより、フィードに攻撃を仕込むほうが、攻撃者にとっては得策だと Auger 氏は指摘する。そうすれば、サイトの全購読者まで「所有」できるからだ。

RSS の配信機能は、潜在的にそれほど危険性が高い。人気の高さゆえ、一度悪用されれば、何千何万のユーザーに被害を及ぼす攻撃媒介となり得る。

Web ベースのリーダーは特に SQL インジェクション、コマンド実行、サービス不能化 (DoS) 攻撃といった、様々な攻撃を受けやすい。

また、多くのローカル RSS リーダーはファイルシステムに簡単にアクセスできるため、ローカルネットワークをポートスキャンして、リレー攻撃に使われる可能性がある。

Web ベースの RSS リーダーの中では、特に『Bloglines』がコードを仕込まれる危険が高いと Auger 氏は指摘している。

ローカルリーダーでは、『RSSReader』『RSSOwl』『FeedDemon』『SharpReader』の名前が挙がった。Auger 氏によれば、ベンダーとの間で確認作業が終了していなかったり、まだ連絡を取っていないベンダーもあり、それらについて名前を挙げることは控えたいため、脆弱性のあるリーダーのリストは現時点では未完成だという。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。