SNSは危険がいっぱい?MySpaceなどのSNSはセキュリティの基本原則を無視
MySpaceのプラットフォームは「XML化された混合物」にすぎず、「攻撃手法を考案するのに便利な説明書付きAPI」を悪質なハッカーに提供するものだ、とセキュリティ専門家が指摘した。
FacebookやMySpaceなどのソーシャルネットワーキングサービス(SNS)は、「3つのD」のセキュリティが欠如した典型モデルだといえる。すなわち、Design(デザイン)、Default(デフォルト)、Deployment(デプロイメント)のすべてにおいてセキュリティが欠如しているのだ。
「Black Hat 2008」のブリーフィングで講演を行った2人のセキュリティコンサルタントは、これらの非常にポピュラーなSNSの運営業者のビジネスモデルにセキュリティが含まれていないのは明らかだと指摘する。
コンサルティング会社Agura Digital Securityの創業者のショーン・モイヤー氏、そしてHexagon Security Groupの創業者でIdea Information Securityのシニアセキュリティコンサルタントを務めるネイサン・ハミエル氏によると、情報セキュリティのプロフェッショナルは、こういったサイトをむやみに利用すべきではないという。
自由討論セッションでBlack Hatの来場者に向けて語った両氏の主なメッセージは、SNS上で情報を共有する際には、それが一般に公開されるのだという認識をあらためて持つ必要があるということだ。
クレジットカード情報をFacebookで公開すれば(Facebookではそんなことをしないようユーザーに警告しているが)、どんな被害に遭っても文句は言えない。
モイヤー氏とハミエル氏は、一連の簡単なMySpace攻撃のデモを行った。これは、ソーシャルエンジニアリングと技術的ハッキング手法を組み合わせることにより、仲間との交流を求め、疑うことを知らないエンドユーザーを攻撃するというものだ。
攻撃対象の脆弱性は多数ある。両氏によると、MySpaceやFacebookなどのSNSは非常にオープンなAPIを提供している。これらのAPIを利用すれば、どんなアプリケーションとも自由にデータをやりとりできるだけでなく、攻撃者はユーザーのアプリケーションを通じて、クロスサイトスクリプティング(XSS)などの攻撃にも使えるサイトコードを悪用することができるという。
連携が容易なMySpaceのプラットフォームやユーザーが生成したアプリケーションは、「XML化された混合物」にすぎず、「攻撃手法を考案するのに便利な説明書付きAPI」を悪質なハッカーに提供するものだ、と2人は指摘する。
モイヤー氏とハミエル氏は具体例として、ユーザープロフィールをいとも簡単に乗っ取れることを示すデモを行った。彼らは偽ユーザーのプロフィールからのコメントを利用して実際のユーザーをログアウトさせるだけでなく、そのユーザーが再びログインを試みるたびにログアウトさせたり、そのユーザーのプロフィールにアクセスするすべての人をログアウトさせてみせた。
また、ソーシャルエンジニアリングのデモでは、有名なセキュリティ専門家のマーカス・レイナム氏の偽プロフィールを(同氏の承認を得た上で)作成した。するとすぐに、セキュリティベンダーのCSO(最高セキュリティ責任者)、Fortune 100企業のCSO、情報セキュリティ誌の編集者など多くの人が「マーカス」にアプローチしてきた。彼らは、これが本当のマーカス・レイナム氏なのか疑ったりすることもせず、信頼できると思った相手にためらいなく情報を提供した。
モイヤー氏とハミエル氏はもちろん、この見当外れの信頼を悪用したりはしなかったが、「この偽マーカスが悪質なWebサイトへのリンクやアプリケーションと結び付いていたら、アプローチしてきた人々はあっという間に犠牲者になっていただろう」と述べた。
両氏は、賢明な(しかし実現しそうにない)幾つかの対策も示した。その多くは、SNS運営業者の側に責任ある行動を求めるものだ。すなわち、
- APIの機能の削減
- 自社サイトとユーザーのために脅威モデルを作成すること
- よりセキュアな開発に向けて努力すること
- 企業向けSNS用に電子メールによる認証機能を提供すること
などだ。
MySpaceやFacebook上に偽の「あなた」が現れてほしくないのであれば、あなたのパーソナルプロフィールが誰かほかの人に作成される前に、自分でそれを作成する必要があると両氏はアドバイスする。
この記事を読んだ人にお薦めのホワイトペーパー
この記事を読んだ人にお薦めの関連記事
ITmediaはアイティメディア株式会社の登録商標です。