ウィジェットが悪質ソフトウェアの標的に

人気が急激に高まっていることや、比較的安全性が低いことから、最近ウィジェット型のアプリケーションが悪意ソフトウェアのターゲットになっている。デスクトップにインストールして使用するものと、ブラウザベースのものがともに狙われている。

セキュリティ企業 Finjan は、17日に発表した最新の調査報告のなかで、ウィジェット (またはガジェット) がコンピュータユーザーを数多くの攻撃の危険に晒していると警告している。ウィジェットはカッコよく害のない小型アプレットとして、実際にはセキュリティモデルもなく設計されていながら、本格的なアプリケーションと等しい性能をもっているためだという。

さらに悪いことに、ウィジェットの脆弱性は『Yahoo! Widgets』あるいは『Windows Vista』のサイドバー アプレットに限定されたものではない。Finjan はさらに、悪質ウィジェットを Microsoft の『Live.com』および Google の『iGoogle』のページに挿入する実証コードのサンプルも発見した。

「それ (ウィジェット) は、カッコよく見えて、いくつかの基本的な機能を提供するために設計された環境で、誰も基本的なセキュリティについては考えていなかった。こうしたウィジェットエンジンのセキュリティモデルには、本質的な問題がある」と、Finjan の悪質コード調査センターでセキュリティ調査担当ディレクタを務める Istach Amit 氏は述べた。

世の中にはたくさんのウィジェットが出回っている。Finjan の調べでは、Google のサイトで3720種、Appleのサイト で3197種、Facebook のサイトで3959種の利用可能なウィジェットが見つかった。これらの企業は独自のウィジェットを提供しているが、何千もの数のサードパーティ製ウィジェットも、ユーザーがインストールできるようホスティングしており、悪意あるコードの含まれたウィジェットを取り締まる保証はしていない。

Amit 氏によると、問題はウィジェットが、iGoogle であろうと Yahoo! Widgets であろうと、ホステイング環境では考慮していない本格アプリケーションであるということで、今よりはるかに制限を強化し、より細密に調べる必要があるという。「必要のないかぎり、ウィジェットがファイルシステムやネットワークにアクセスできないようにしなければならない」と、Amit 氏は述べた。