RSS配信はセキュリティ上危険か

大小さまざまなインターネットサイトからのRSS(Really Simple Syndication)配信が、Web発行者と消費者の両方によって広く利用されている。電子メール、ブラウザ、インスタントメッセージなどのインターネット通信技術に関してセキュリティの話題が出るのはいつものことだが、今度はRSS配信がアドウェアやスパイウェア、あるいはまだ注目されていないもっと悪質な手口に利用されることになるのでは、と一部のセキュリティ専門家は話す。

スパイウェア対策を専門とするWebroot社の脅威研究担当副社長、Richard Stiennon氏は、RSS (さまざまなサイトのコンテンツを1つに要約して配信し、余分な電子メールを減らす機能)によって、いまに予期しない不正コードが送り込まれるようになるかもしれない、と警告する少ない専門家の一人だ。

Stiennon氏は、RSS配信を受けるユーザとRSSを利用するサイトが増加してきたことで、最新のアドウェアやスパイウェアの開発者ならこれを利用して不正コードをばらまき金儲けをしようと企むのではないか、と考えている。先日、広告に関するオンラインカンファレンス・セッション”Using RSS Effectively”(RSSの効果的な使用法)を見て、RSSが悪用されるという確信はさらに強まった、とStiennon氏はITMJのインタビューで語った。

「オンラインマーケティング担当者がそうしようと考えたなら、金目当ての請負人が一人で人々のブラウザをリダイレクトさせるくらい簡単でしょう」とStiennon氏はいう。「私たちはある日突然、あわてて削除したり置き換えたりする羽目に陥り、場合によってはRSSを一掃しなければならなくなるでしょう」。

営利目的

Stiennon氏によれば、営利目的で不正コードを送り込んで攻撃するという風潮が、アドウェアやスパイウェアにRSS配信が狙われる一因だという。

同氏は、スパイウェアやブラウザリダイレクトを取り締まる法律が制定されても、少しでも多くのコンピュータを感染させて利益をあげようと競っている攻撃者を阻止できないかもしれないという。ただ、そうした法律によって、ファイアウォールやウイルス対策ソフトウェアで保護されているコンピュータをも感染させる新しい手口を捜査する機会は増えるだろうという。

「攻撃者は、コンピュータを感染させる新しい独自の手口を見つけようとしています。(RSSを利用する手口を)見つけたらすぐさま飛びつくことでしょう」。

また、新しい悪質なソフトウェアは、想像できないほどすぐに現れるだろうという。「いつ最初の被害が出てもおかしくありません」

トロイの木馬やウイルスなどのほかの攻撃手段と同じく、RSS攻撃も防止困難になるように進化していくとStiennon氏は考えている。アクセスの多い大手のサイトは効果的に対応できるだろうが、小規模なサイトやその発行者は攻撃の犠牲になる確率が高いという。

「初めは粗雑な攻撃が仕掛けられるでしょう。すると誰かがそれを手直しして進化させ、大金を稼ぐのです」とStiennon氏は話した。

別の標的

Stiennon氏は、今年のうちにRSSを介して不正コードがばらまかれると予測しており、またもっと前にもそうした攻撃の可能性が指摘されていたのに対し、狙われるのはもっと別の場所または別の技術だと指摘するセキュリティ専門家もいる。

「RSS利用者はそれほど多くありません」と話すのは、iDefense社の脆弱性情報ディレクタ、Sunil James氏だ。「攻撃の標的としてはHTMLメールの方が狙われるでしょう。(RSSは)まだそれほど狙われるとは思えません」。

James氏はITMJのインタビューで、RSS配信は破壊工作ソフトウェア開発者や攻撃者からまだ注目されていないと語った。RSS配信がもっと広く普及すれば攻撃される可能性も高くなるだろうが、人気のこのインターネットパブリッシングスキーマの弱点も、主要なWebサイトの発行者や作成者によって対策がとられるだろうという。

セキュリティの専門家で著書もあるRyan Russell氏は、RSS配信に対する攻撃活動はなさそうだが、サードパーティの配信設定が攻撃や宣伝の新しい手口につながる可能性はあると話す。

RSS広告の登場

Russell氏がITMJに語ったところによると、RSSプロバイダが通常のHTMLを介してアドウェアなどのコードを追加し、それによって利益を得ようとする可能性があり、そうしたサービスの利用者は、広告が追加されたり増加されたりしても気づかないこともあり得るという。

「信頼できないサービス(RSS)の利用には少し危険があります」とRussell氏は話す。「仮に(RSSプロバイダが)完全に信頼できるとしても、RSS配信を悪用される性質があるなら第一級とはいえません。もっとも、それはそもそもWebブラウザを使うことからして同じですが」。

セキュリティの専門家たちは、悪質なコードで得をしようと考える者にはRSS以外にもっと魅力的な標的があると考えているが、利用者を対象とした広告をサイト配信サービスに追加するGoogleのRSS用AdSenseのようなプログラムに対しては、既に批判が出ている。

Stiennon氏は、RSSでウイルスが送り込まれるとは考えにくいが、RSS配信でアドウェアやスパイウェアが増えることは考えられると話した。

「アドウェアやスパイウェアだけにとどまると思います。金儲けが目的なので、昔のようにウイルスをばらまいて技術の無駄遣いをしても仕方ないのです」。

原文