Ajaxブームに集まる未熟な開発者

SPI Dynamicsのセキュリティ研究者であるBilly Hoffman氏による「Ajaxセキュリティ」は、メイン講演会場の立ち見スペースも足りなくなり、入場が制限されるほどの混雑ぶりだった。同氏はまず、MapQuestとGoogle Mapsを例に、動作が緩慢な過去のWebアプリケーションと、デスクトップアプリケーション並の使い勝手を実現するAjax採用後のWebアプリケーションの違いを説明した。

同氏がAjaxのセキュリティ上の問題として指摘したのは3点。

従来のWebアプリケーションではプロセスの大部分をサーバで処理していたが、Ajaxのアーキテクチャはサーバおよびクライアントに広がり、中でもクライアントサイドにあるJavaScripitの実装が重要な役割を果たす。攻撃を受ける可能性がある範囲が広いだけでなく、同氏が示したGartnerの調査結果によると「攻撃の70%はアプリケーション層を通して行われる」そうだ。また実装の仕方次第では、リクエスト拒否やブリッジングなどがセキュリティ上の問題につながる。加えてAjaxブームである。Ajaxの優れた利用例がユーザーの間で評判になり、「ユーザーのために……」という理由で金融機関を含む多くの企業がAjaxの導入を急いでいる。一方で、ブームにより経験の浅い開発者が流れ込んでいるのが現状で、それが不適切な実装を引き起こしている。

「この講演はコンセプト証明や研究成果の発表ではない。実際に被害は広がっているのだ」とHoffman氏。昨年10月に米国の大手SNS、MySpaceがXSSワームの攻撃を受けた。Ajaxを利用した攻撃で、Ajaxを用いた感染ページを開いたユーザーにウイルスを投げ込み、感染者のプロフィールに「Samy is my hero(サミーは私のヒーロー)」と付け加えた。24時間で約100万人が感染したそうだ。

「Ajaxは歓迎されているが、業界に深刻な損害を与える可能性もある」とHoffman氏。導入に際しては必要性を十分に検討し、慎重になるべきだと述べる。標準に従い、外部にさらされるプログラムロジックや入力検証の仕組みに留意すれば、セキュアな実装は可能である。だが、手近なAjaxコードを安易に取り入れている例が少なくないのが現状だという。適切な保護対策の適用方法を開発者に浸透させていく時間が必要だという。