2006年07月31日(月) 22時30分

「Web 2.0」導入が進む中、後回しにされるセキュリティ（CNET Japan）

　「Web 2.0」は、ウェブサイトで実現できることの限界を拡張する新技術として、導入が急速に進んでいる。しかし、機能を追加しようと急ぐあまり、セキュリティが後回しにされていると、専門家は指摘する。

　Web 2.0の流行には、高額な参加費のカンファレンス、大量に生まれる新興企業、革新的な企業（「MySpace」を保有していたIntermix Mediaや「Writely」を開発したUpstartleなど）の巨額買収といった特徴から、1990年のインターネットブームを思い起こさせるところがある。そして、また別の面でこうした既視感をいっそう強く抱いている専門家たちもいる。デスクトップソフトウェアが登場して間もない頃と同じように、開発の推進力となっているのはすべて機能に関することで、セキュリティの確保はおろそかにされていると、専門家たちは話す。

　ウェブセキュリティ企業のSPI Dynamicsでリードエンジニアを務めるBilly Hoffman氏は、次のように述べている。「われわれは、セキュリティを後回しにすることで同じ誤りを繰り返している。企業は（Web 2.0の）大合唱に引き込まれ、ウェブアプリケーションのさまざまなアイデアを組み合わせている。だが、セキュリティについては考えていないし、ユーザーを著しく危険にさらしていることも認識していない」

　ネット上で表面化した脅威のうち、とくによく知られているものに、「Yamanner」「Samy」「Spaceflash」という3種類のワームがある。 Yamanner は「Yahoo Mail」を攻撃対象とするワームで、アドレスブックからメールアドレスを収集し、すべてのアドレスに自身のコピーを転送する。Samyや Spaceflash は、人気のソーシャルネットワーキングサイトMySpaceのサービスを介して感染を拡大し、ユーザーのプロフィールのページを変更してしまう。

　 Web 2.0 に厳密な定義はない。たいていの場合Web 2.0は、従来のシンプルで静的なページにはない要素を含むウェブサイトを指す包括的な語として使われている。Web 2.0のサイトは、よりインタラクティブで、たとえば、オンラインで投稿された写真にタグを付けることができる。従来のウェブサイトとは異なり、 デスクトップアプリケーションによく似た使用感 を提供できる。

　このような動的で派手な印象のウェブサイトを可能にしている重要な要素の1つは、「 Ajax 」--「Asynchronous JavaScript + XML」の略称--と呼ばれるプログラミング手法だ。2005年に立ち上げられた「 Google Maps 」は、広範なネットユーザーに Ajaxによる開発手法の恩恵を示したウェブアプリケーション の先駆的存在と言える。Google Mapsでは、マウスのドラッグ操作で、ページをリロードすることなく画面上の地図画像の移動が可能だ。

　しかしAjaxは、Webページやサイトをよりインタラクティブにするのに役立つだけではない。専門家によると、Ajaxは悪意を持ったハッカーに、ウェブサーバーを攻撃し、そのサイトを利用して訪問者に被害を与える手段をもたらす可能性もあるという。

　Ajaxを活用したサイトはブラウザとの情報のやりとりが多く、クライアントパソコン上でJavaScript（ウェブサイトでよく利用されるスクリプト言語）を実行することもあるため、「攻撃にさらされる面」が大きくなる、とHoffman氏は指摘する。これと対照的に、従来型のウェブサイトではたいていの場合、フォームを介して情報を受け取る。

　Ajaxを利用することによって、いわゆる クロスサイトスクリプティング脆弱性 が生じる可能性も高まるという。これは、サイトの開発者がウェブページのコーディングを適切に行っていない場合に発生する。攻撃者は このような脆弱性を利用して ユーザーアカウントを乗っ取り、情報を盗み取るフィッシング詐欺を働いたり、ユーザーのパソコンに悪意のあるプログラムを送り込んだりする可能性があるという。Microsoft、eBay、Yahoo、Googleといった大手企業のウェブサイトは、軒並み クロスサイトスクリプティングに対する脆弱性 を指摘されたことがある。

　だが、クロスサイトスクリプティングの問題は、リスクの1つに過ぎない。 Fortify Software のチーフサイエンティストBrian Chess氏によれば、Ajaxのコードで問題を引き起こすおそれがあるものとして、レースコンディション、妥当でないコード、オブジェクトモデルの違反、不完全な乱数、不適切なエラー処理などがあるという。

　このようなエラーから、ユーザーのデータが外部に流出したり、あるユーザーが他のユーザーのセッション制御を奪い、悪意のあるプログラムの実行その他の攻撃を行ったりする可能性があると、Fortify Softwareは説明している。同社が2005年12月に「Foundations of Ajax」というソフトウェア開発者向けの解説書を調べたところ、掲載されているAjaxのサンプルコード中に、こうした問題がすべて見つかったという。

　「（同書に載っている）サンプルコードは、おそらく模範的な書き方だと受け止められるだろうから、世界中にいる多くのソフトウェア開発者がセキュリティに問題のあるコーディングを身につけてしまう」（Chess氏）

　「Fondations of Ajax」の著者の1人Ryan Asleson氏は、同書のサンプルコードにそうした脆弱性が存在するとは聞いたことがないと語った。しかし、そのような問題が存在する可能性はあるとも述べている。なぜなら、多くの読者が理解しやすいよう、サンプルコードは単純なものにとどめており、「掲載したコードを実際の製品に利用することはまったく意図していない」からだという。

　Asleson氏によると、セキュリティ上の問題を防止する鍵となるのは、開発者のトレーニングや実習だという。「セキュリティ問題などないという人がいたら、それは無知というものだと思う。開発者のやり方しだいで、あらゆる種類のセキュリティホールが生じてしまう」（Asleson氏）

　Ajax自体が新たな脆弱性を作り出すのではない--Ajaxを利用することで、昔からある過ちが生じやすくなるだけなのだ、とChess氏は言う。ソフトウェア業界はデスクトップアプリケーションの時代を脱しようとしている。今まではバッファオーバーフローが大きなセキュリティ問題だったが、現在、懸念されているのはAjaxに用いられるJavaScriptの部分だ。「またしても、過去の過ちを繰り返そうとしていることに驚く思いだ」（Chess氏）

　しかし、Ajax関連の著作が2冊あり、自身も開発者であるAsleson氏は、ウェブ開発者がセキュリティをおろそかにしているという見方に異を唱え、次のように語った。「いくつかの点で、10年ほど前にわれわれがデスクトップアプリケーションで経験したことに似ている部分もある。しかし、当時はセキュリティ問題を意識している人などいなかった。今日ではそんなことはない」

　好んでAjaxを採り入れている、ウェブ業界の大手Googleも同じように感じているようだ。同社の技術担当バイスプレジデントDouglas Merrill氏は、電子メールでの取材に対し、「すべてのソフトウェア開発と同じく、Ajaxでの開発においても、セキュリティ問題に取り組み、利用者の利益を最優先に考えて製品を開発していくことが重要だ」と回答している。

　ウェブアプリケーションの利点の1つは、たいていユーザーの手を煩わすことなく、迅速かつ容易に修正を施せることだ、とMerrill氏は述べた。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

関連記事
JavaScriptを悪用した攻撃手法--セキュリティ研究者らが発見 - 2006/07/31 11:21
米企業で進む「Web 2.0のススメ」--使えるコラボレーションツールを目指して - 2006/07/11 21:21
グーグル、Google Readerのセキュリティ脆弱性を修正 - 2006/07/06 17:31
ニフティ、Ajax技術を用いたウェブメール「Webメール2.0」を開始 - 2006/06/01 16:46
Ajaxを利用し、ブラウザ上でデスクトップと同じ機能を提供する「StartForce」 - 2006/05/12 20:14
Web 2.0技術を使ったアパート探しサイト、米国に登場 - 2006/05/02 17:15
グーグルの「Writely」買収で浮き彫りになったWeb 2.0ブームの実状 - 2006/03/14 14:37
グーグル、Gmailのセキュリティ脆弱性を修正 - 2006/03/03 18:42
グーグル、クロスサイトスクリプトの脆弱性を修正 - 2005/12/22 10:49
AJAXに注目--グーグルが最新ウェブアプリ開発に選んだ「旧技術」 - 2005/04/11 16:57

[CNET Japan]
http://japan.cnet.com/

http://headlines.yahoo.co.jp/hl?a=20060731-00000010-cnet-sci