ソーシャルネットワーク・サイトのセキュリティ不備

SecurityFocus
2004年1月2日 10:56 GMT

国際海外情報

2004年1月13日（火） 12時00分

SecurityFocus
2004年1月2日 10:56 GMT

　2004年は、LiveJournal（LJ）や Tribe などのサービスが Web 攻撃の標的となる見通しだ。しかし、それらのサイトのセキュリティ対策やプライバシー指針は時代遅れで 1997年頃のシロモノだ、と Annalee Newitz 氏が指摘している。

　Brad Fitzpatrick 氏は LiveJournal.com の社長だ。LiveJournal.com は 150 万以上のユーザが友人と共有したい日記エントリを投稿するソーシャルネットワーク Web サイトである。メンバーは自分の日記に極めて個人的な情報を投稿しており、その内容は自殺の計画、上司への嫌がらせから性的冒険まで多岐にわたっている。Fitzpatrick 氏はそのサイトについて、セキュリティが優先事項ではないことを認めた。

　最初のログイン・ページで、LiveJournal のメンバーは空欄に自身のパスワードを入力して送信する。「我々は毎月パスワードの変更を行うことを望んでいる。サイトのパフォーマンスが我々の最優先事項であり、SSL は頭の痛い問題だ」と同氏。

　Jack（仮名）は LJ ユーザで、過去にアカウントを不正利用されたことがある。彼はその不正行為がどのような経緯で起こったのか知らないが、ある日彼がログインすると、彼の日記エントリの大部分が削除されていた。攻撃はそれだけで収まらなかった。攻撃者は彼の友人の "ロックした" エントリ（他の友人たちのみが閲覧できる）も攻撃し、Jack の日記の極めてプライベートなやりとりをパブリックなエントリとして再投稿したのだ。彼はすぐに自分のパスワードを変更してこの問題に対処したが、被害は免れなかった。「私の友人は本当に激怒しており、いまでも怒りが収まらない」と Jack。ある友人は、上司とのトラブルに関するプライベートな書き込みが Jack の日記で公になってしまい、職を失うかもしれないと不安にかられている。「その内容の詳細を知っている人じゃないと、とうてい見つけることはできないと思うけど、その書き込みは未だに Google でひっかかる」と Jack は説明する。

　ソーシャルネットワーク Web サイトの Tribe.net も同様にセキュリティ対策の不備がある。同サイトは 6 ヶ月前に発足して以来、そのメンバー数は 6万5000 名まで膨れ上がっている。Tribe の CTO（最高技術責任者）Paul Martino 氏は、メンバーのログイン用に SSL を使用するという考えを冷笑した。「我々のログイン・ページに強力な暗号機能は必要ない。我々は一意のセッション ID などの標準セキュリティ技術を使用しているのだから」と同氏は述べた。

　セキュリティ専門家にしてみれば常識のことだが、一意のセッション ID を破る方法は多数ある。大手金融、医療、政府機関の Web アプリケーションのセキュリティ問題を調査している Aspect Security の CEO（最高経営責任者）Jeff Williams 氏は、Tribe.net が SSL の使用を拒否することに関して「URL に含まれているセッション ID があらゆるプロキシにログオンされる。あるいは、あなたはネットに接続していないセッション ID を dsniff で窃取できる。Tribe が SSL を使用しないとしたら、彼らの言い分はこうだ。基本的にあなたが自分のプライバシーを重んじるようにはプライバシーに重きを置いていない」と述べた。

　クロスサイト・スクリプティングの問題もある。Martino 氏によると、Tribe はサイトへの投稿に悪質なスクリプトを埋め込む人々を阻止するために "タグの無効化" を行っている。しかしセキュリティ専門家によると、攻撃者が特別に細工した URL を送信することで特定のメンバーを標的にできる。メンバーのクッキーを窃取するために、細工した URL を送信することで、隠されたタグを含むフォームにメンバーを向かわせることができるという。Williams 氏は次のように述べた。「XSS（クロスサイト・スクリプティング）は極めて広範囲に及んでいる。加えて XSS の脆弱性を見つけ、悪用するのは簡単だ」。

　Williams 氏も名を連ねている Open Web Application Security Project（OWASP）は、Web アプリケーション脆弱性のトップテン・リストの中でクロスサイト・スクリプティングを 4 位にランクしている。「我々は XSS を阻止しようと懸命に努めたが、絶えず新しい XSS が発生していた。唯一の解決策は、リンクのタグを取り除くことだが、それは賢明な解決策とは言えない」と Fitzpatrick 氏。

　セキュリティ・コンサルタントで Nmap の作者である Fyodor は、ソーシャルネットワーク・サイトは eBay を使用する者なら誰でも知っている攻撃に対しても脆弱だと推測する。「あなたが制御する偽のログイン・ページをユーザに送信することで、ユーザを騙してユーザ名/パスワードを窃取できる。例えば、発信元を Tribe と装って偽の電子メールを送信したとする。そのメールの趣旨は、新しいサービス・タイプあるいはアカウントの停止の同意を求めるものだ。そこで、あなたは Tribe を装った URL に自身のユーザ名/パスワードを入力する。しかし実際は正規の Tribe の URL ではなく、攻撃者がパスワードを窃取するためのページに向かう URL なのだ」とFyodor 氏。

　ソーシャルネットワーク・サイトの状況でそれらの攻撃が功を奏す要因となるのは、攻撃を仕掛ける方法ではなく動機だ。攻撃者は、Tribe や LinkedIn のメンバー ID を偽装して何を取得する必要があるのか？ LiveJournal のアカウントをハッキングしてどのような被害を与えるのか？答えは、一般の人々が社会評価システムに依存する度合いが高くなっていることに関係している。

［情報提供：The Register］
http://www.theregister.co.uk/

［翻訳：関谷　麻美］

（詳しくはScan本誌をご覧ください）
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》