Web サイトに密かにロードされる何十ものドメイン
複雑さはセキュリティの大敵であり、システムの可変部分が多いほど、セキュリティの確保が困難になります。ところが、オンライン広告と Web サイト分析の最近のトレンドによって、極めて複雑な Web アプリケーションが作成されるようになり、結果として、犯罪者に悪用される可能性も高くなっています。
ウォッチガードの CTO である Corey Nachreiner が、Dark Reading の最新コラムで、この問題を詳しく説明しています。Corey は、Firefox ブラウザのプラグインである、Web ページのすべての有効なスクリプトをブロックする NoScript を使用して、CNN.com を調査し、この多くの人が利用する Web サイトがロードしようとする隠れドメインの数を検証しました。
その結果、CNN.com が合計で 47 もの他のドメインからコンテンツをロードしていたことがわかりました。ただし、すべてではないとしても、これらのドメインのほとんどは、広告や Web サイトの正規の分析ツール、または CNN の Web アプリケーションの一部です。さらには、これは CNN だけの問題ではなく、どの主要 Web サイトにおいても同じことが行われています。問題なのは、これらの外部への接続によって複雑化が進み、セキュリティが低下する可能性があり、攻撃対象が拡大する点にあります。Corey の記事では、これらのリスクを次のように説明しています。
CNN.com が攻撃されたわけではありませんが、攻撃者による iframe のようなコードのインジェクションを可能にする何らかの脆弱性が CNN に存在したとしたら、どうなるでしょうか。あまりに多くの外部コンテンツが通常のサイトにロードされている現状で、たった 1 つの不正ドメインをその中からどのように特定すればよいのでしょうか。さらに重大な問題として、そのような外部ドメインのいずれかが攻撃されたとしたら、どうなるでしょうか。広告ネットワークが不正目的で広告スペースを購入した犯罪者によって感染させられた場合、CNN が信頼しているこれらの外部ドメインの 1 つによって、目に見えない iframe が埋め込まれる可能性があります。
CNN.com ドメインを対象に実施された今回の調査の詳細については、Dark Reading の記事全文をお読みいただき、Corey による NoScript テストの詳細については、こちらのビデオをご覧ください。