［米国］
MSNとAmazon.comにセキュリティ上の欠陥──米国の研究者が詳細を公開

（2006年06月29日）

　マイクロソフトとアマゾンのWebサイト上にセキュリティ欠陥を見つけた米国のセキュリティ研究者が6月28日、両社から誠実な返答がなかったとして、それらの欠陥の詳細を公開した。

　セキュリティ研究者のヤッシュ・カダキア氏が「MSN」と「Amazon.com」の両サイトに発見したクロスサイト・スクリプティングの欠陥は、攻撃者に悪用されることで、両サイトのアカウントにログインするためのクッキー・データを盗まれたり、フィッシング攻撃として偽のログイン・ページが表示されたりするおそれがあるという。

　これらの欠陥の危険度は一般的に低いと見られているが、カダキア氏によると、両社のサイトには、広範に及ぶ重大な攻撃にしばしば利用される「CRCF（Carriage Return Line Feed）injection」の手法が使われているため、注意が必要としている。

　カダキア氏は約1年前にその欠陥をマイクロソフトに報告していたが、先週末、同氏のWebサイト上に、実際に欠陥が悪用された場合のスクリーン・ショットを公開するまで、同社は真剣に受け止めなかったとしている。

　Amazon.comの欠陥は12月に見つかり、当初、アマゾンと若干のやり取りが行われたものの、結局パッチ等は適用されなかった。「同社からの連絡はいつのまにか途絶えてしまった」とカダキア氏は述べている。

　マイクロソフトの広報担当者は、これらの欠陥について現在調査中だとしている。一方、アマゾンの幹部はこの件についてコメントを控えた。

　セキュリティ・コンサルティング会社米国セキュア・ネットワークの共同創業者でCTO（最高技術責任者）を務めるステファノ・ザネロ氏は、「マイクロソフトはこれまでセキュリティに重点を置いてきたが、自社のWeb資産に関連するセキュリティ問題への対応は、ソフトウェア製品に比べて遅れているようだ」と指摘する。

　カダキア氏が発見したタイプの脆弱性は、長い間あちこちのWebサイトに見られたものだ。一方、ハッカーらはこれまで、OSの脆弱性を見つけることに熱心だったが、以前に比べて見つけにくくなった今、彼らは新たな攻撃対象としてWebアプリケーションを含めた新分野を探している。

　ザネロ氏によると、発見されるべきWeb上の脆弱性はもっとたくさんあるという。「われわれは、中核的ビジネス・サービスの1つとしてWebアプリケーションの侵入テストを行っており、これまでにテストしたWebアプリケーションにはいずれも重大な欠陥が見つかった」と同氏は述べている。

　今月、米国ヤフーのWebメール・サーバに「JS.Yamanner@m」と呼ばれるワームが仕掛けられた。結局このワームによって広範な被害がもたらされることはなかったが、Webアプリケーションの脆弱性について注意を促す結果となった。

　ザネロ氏は、「マイクロソフトとアマゾンの対応の遅れは、Webサイト上の脆弱性が多くのサイト運営者にとって大きな心配ではないことを示している。いずれにせよ、両社のぐずぐずした対応にはあきれている」と指摘する。なお、カダキア氏によると、マイクロソフトとアマゾンの両社は、現在、同氏が発見した欠陥を修正しようと努めているという。

　もっとも、すべてのセキュリティ専門家が、カダキア氏が発見した欠陥が重大なものだと考えているわけではない。シマンテックの広報担当者は、カダキア氏が見つけた欠陥について、「よくあるタイプの欠陥で、取り立てて言うほどのものはない」と述べている。

　だが、このシマンテックのコメントに対して、カダキア氏は、「マイクロソフトよりもシマンテックのほうがこの問題を重くとらえているようだ」と語る。同氏は先ごろ、シマンテックのWebサイトに見つけた同様の欠陥を同社に報告したところ「1週間で修正された」（同氏）という。

(ロバート・マクミラン／IDG News Service サンフランシスコ支局)