【レポート】

Black Hat USA 2006 - ハッカーにとっても便利なRSS、購読がゼロディ攻撃に

1 まだ誰も真剣に考えていないRSSの攻略、その可能性

  • <<
  • <

1/2

RSS/Atomに対応する専用リーダーやWebサービスを利用して、効率的に情報を集めるPCユーザーが増えている。Internet Expolorer 7がリリースされれば、主要なWebブラウザ全てがRSS/Atom購読機能を搭載することになり、PCユーザーにとってさらに身近な存在となりそうだ。情報配信だけではなく、オンラインショップやオークションサイトなど、Webサービスの使い勝手を向上させるツールとしても期待されている。

RSS/Atomのメリットはユーザーと強い結びつきを持てる点にある。そのためビジネス側はRSS/Atomの利用に熱心なのだが、その利便性が悪用されることも考えられる。SPI DynamicsのCaleb Sima氏とRobert Auger氏は、現状ではRSS/Atomがゼロディ攻撃に利用される可能性があると警鐘を鳴らす。

Sima氏によると、現時点でRSS/Atomを使った攻撃が深刻なトラブルになっていないのは、「(攻撃者を含めて)まだ誰も真剣に考えていないからだ」という。だが、コンセプト実証を目的とした攻撃はすでにいくつか存在し、その効果は今後増加する可能性を示しているという。たとえば"< >"はRSSリーダーで配信される情報のテキスト上では括弧に過ぎないが、"< >"で囲まれたテキストは実行コードになり得る。このように配信情報にJavaScriptを埋め込めば、PCユーザーに購読情報を読んでもらうだけで、ウイルス対策やスパイウエア対策ソフトに検知されることなく様々タイプの攻撃を実行できる。同氏はこれをフィード・インジェクションと呼び、「想像力を働かせれば、いくらでも可能性は広がっていく」と述べる。

  • <<
  • <

1/2

インデックス

目次
(1) まだ誰も真剣に考えていないRSSの攻略、その可能性
(2) 信頼できる配信元でも、送信されるデータが安全とは限らない


転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

求人情報