Facebook にクロスサイト リクエスト フォージェリ攻撃の脆弱性

人気が高まる一方の Facebook だが、セキュリティ研究家や脆弱性発見を手がける人々にとっても、さらに興味をそそる対象となりつつあるようだ。

セキュリティ研究家の Ronen Zilberman 氏は19日、HTML のイメージタグを使って Facebook ユーザーの情報を盗み取る新たなクロスサイト リクエスト フォージェリ (CSRF) の攻撃ベクトルを公表した。Zilberman 氏が明らかにした情報によると、ユーザーが感染したページをロードするだけで、この攻撃が開始されてしまうという。

Zilberman 氏が初めてこの発見について投稿したのは6日のことだった。しかし、Facebook がこの脆弱性に対応する修正パッチを適用したのを受け、同氏は19日になって、この脆弱性が働く仕組みについて全容を明らかにした。

Zilberman 氏にコメントを求めたものの、この記事の執筆時点で回答は得られていない。しかし、Facebook の広報担当者の Simon Axten 氏は取材に対し、この問題が報告され詳細が明らかになる前の17日に、この脆弱性に対して修正パッチを適用したと述べて次のように説明している。

「無防備になる情報は極めて限られたもので、ユーザー名、Facebook のユーザー ID、プロファイルの写真、友人リストだけだ。ユーザーのプライバシ設定も順守されている (つまり、『Facebook Platform』を用いたアプリケーションからある種の情報を隠していた場合、そうした情報はアクセスできない状態を保っていたということだ)。これまでにこの脆弱性が悪意のある目的に使われたという形跡はまったくない」

そうは言うものの、Facebook のアカウントがセキュリティ上の脅威にさらされたことは、この攻撃が正規の HTML タグを使ってユーザーのプライバシーを侵害したという点で、注目に値する。

Zilberman 氏の報告によれば、この攻撃は悪意を持つ HTML イメージタグ を埋め込むだけで引き起こすことが可能だという。Blog やフォーラムなども対象に含まれ、コメント欄でイメージタグの使用を許可するだけでも被害に遭うおそれがあるとのことだ。

「この攻撃は、最後に有効なイメージを使って終了する巧妙な仕掛けになっているので、そのページは正常に表示される。そのため、攻撃されたユーザーは何か特別なことが起きたとは全く気付かない」と、Zilberman 氏は述べている。