Finjanによると、VistaにプリインストールされたウィジェットやiGoogleに用意されているウィジェットはユーザーを危険にさらす恐れがあるという。
最近の調査によると、ウィジェット(時計や電卓などのツールをデスクトップに並べることができる遊び感覚のグラフィカルな小型アプリケーション)はどれもセキュリティ上の問題を抱えており、新たなマルウェアの波をユーザーのシステムに招き入れようとしているという。
これらのアプリケーションのセキュリティホールは既に明らかになっている。8月の月例パッチで公開されたMicrosoftのMS07-048ア ドバイザリは、Vistaの「Feed Headlines」ガジェットの脆弱性に対処した。この脆弱性は、悪質なRSSフィードやリンクを呼び込む可能性があるというもの。カリフォルニア州ク パティーノに本社を置くAppleも6月、自社のブラウザエンジンであるWebKitにパッチを施した。WebKitはSafari用のエンジンとしてだ けでなく、Dashboard用のエンジンとしても利用されている。Dashboardは、気象情報、株価、試合経過などのリアルタイム情報を提供する ウィジェットセットである。
カリフォルニア州サンノゼに本社を置くセキュリティ専門企業のFinjanの報告によると、VistaなどのOS、サードパーティーのアプリケー ション、Webウィジェットなどさまざまなウィジェット環境において、ウィジェットやガジェットのセキュリティの欠陥を狙った新種の攻撃が差し迫ってお り、この騒乱を防止するにはセキュリティモデルを修正するしかないとしている。
FinjanのMalicious Code Research Center(MCRC)は「Third Quarter Web Security Trends Report」(第3四半期Webセキュリティトレンド報告書)の中で、「すべてのウィジェット環境はセキュリティモデルに不備があり、悪質なウィジェッ トの実行を許すことが分かった。さらにわれわれは、ウィジェット環境で(一部はデフォルトインストールとして)既に提供されている脆弱なウィジェットも発 見した。これらの例は明らかに、こういった小型アプリケーションではセキュリティに対する配慮が欠けていることを示している」と述べている。
Finjanは以前からこの問題に取り組んでいる。ワシントン州レドモンドに本社を置くMicrosoftは、MS07-048パッチに対する同 社の貢献を認めている。また、Finjanの研究者であるアビブ・ラフ氏とイフタック・イーアン・アミット氏は8月5日、「Defcon」カンファレンス において「The Inherent Insecurity of Widgets and Gadgets」(ウィジェットとガジェットに固有のセキュリティ欠陥」と題された講演を行った。
Finjanによると、ウィジェットとガジェットは、HTMLライクなプレゼンテーション/レンダリング手法やJavaScriptライクな APIなどのWebモデルが基本的なベースになっている。このため、これらがシステムにもたらす脆弱性の種類が、Web上に存在するものと類似していると いうのも驚くに当たらないという。しかしウィジェット/ガジェット用のエンジンは、その下にあるOSと非常に広範な接続機能を共有しているため、脅威は いっそう大きなものになる。少なくともこれは、OSネイティブのウィジェットやサードパーティーのウィジェットエンジンを利用するウィジェットについて当 てはまるとしている。
「これにより、デフォルトでローカルリソースへの特権的アクセスを獲得できる強力な攻撃ベクター(媒介物)が提供される」とFinjanは指摘する。
Finjanではこれまで、多数のセキュリティ上の弱点を発見した。その後で修正された弱点の1つが、Vistaのサイドバーの全バージョンにプ リインストールされている「Contacts」ウィジェットの脆弱性である。攻撃者は、不正な形式でありながら無害を装った連絡先情報を提供することによ り、ターゲットになったシステム上でその連絡先を表示させるだけで、そのマシン上でコードを実行することができる。その際、ユーザーによる操作は必要とさ れない。
Microsoftの「Live.com」でも脆弱性が発見された。Live.comはカスタマイズ可能な新しいポータルで、RSSフィードの最 新の見出し、Hotmailアカウントの受信ボックスの内容の要約、地域の天気予報などを表示する。Live.comのRSSリーダーウィジェットには、 攻撃者からのデータフィードを通じて悪質なコマンドを招き入れるという脆弱性があった。攻撃者はこの欠陥を利用して、ユーザーアカウントから特権情報への アクセスを入手することにより、そのユーザーになりすまし、ブラウザを乗っ取ることができる。
Yahoo!のウィジェットエンジンにもセキュリティの不備があったことが分かっている。「Konfabulator」エンジンをベースとする同 技術は、サードパーティーアプリケーションとしてインストールすることができ、ネイティブのウィジェットエンジンを備えていないOSにウィジェット機能を 提供する。Finjanによると、以前、Yahoo!のウィジェットエンジンでは「Contacts」ウィジェットに脆弱性があり、攻撃者は不正なスクリ プトを実行させることができたという。
Finjanでは、ウィジェットやガジェットを通じた攻撃が増加すると予想している。iGoogle、Live.com、Yahoo!、Vista、Mac OS上で利用できるなど、ウィジェットやガジェットは広範に普及しているからだ。
FinjanのMCRCでは、信頼できないサードパーティーのウィジェットは使わないこと、そしてシステムをコントロールする力を持った本格的な アプリケーションとしてウィジェットを扱うようユーザーにアドバイスしている。また、インタラクティブなウィジェットの使用に際しては注意が必要だとして いる。この種のウィジェットは、RSSや気象情報といった外部からのフィードを利用するため、信頼されたコンテンツに悪質なペイロード(コード)を便乗さ せるチャンスを攻撃者に与える可能性があるからだ。
セキュリティポリシーに関しては、Finjanはウィジェットおよびウィジェットエンジンに対して厳格なポリシーを適用すべきだとしている。 「ウィジェットは重要な業務アプリケーションや生産性向上ツールとは見なされないため、従業員によるウィジェットやガジェットの利用は制限すべきだ」と MCRCは報告書に記している。またFinjanによると、ウィジェットやガジェットはゲートウェイでブロックすることにより、社内ネットワークから遮断 すべきだという。
「ベンダーもユーザーも、あらゆゆるアプリケーション、たとえビジュアルなエンターテインメント用として作成された小さなアプリケーションであっても、セキュリティに対する潜在的脅威になるという認識を持たなければならない」とMCRCの報告書は指摘する。
「ウィジェットやガジェットの脆弱性は、攻撃者がユーザーのマシンを支配することを可能にする。このため、ウィジェットやガジェットは、ユーザー がそのメリットを享受できるようにするために、セキュリティを念頭に置いて開発すべきである。この攻撃ベクターは業界に大きな影響を与える可能性があり、 企業は広範囲にわたる新たなセキュリティ懸念に早急に対処しなければならない。企業に必要なのは、こういった環境の変化に対処することができ、コードをリ アルタイムで分析し、これらの斬新な攻撃ベクターに含まれる悪質なコードを検出することによって万全の防御を提供するセキュリティソリューションだ」
