Web2.0的セキュリティ(RSSやスパム対策)
RSSのセキュリティホール
CodeRed、Nimda、SQL Slammerなどが猛威を振るった2000年前半ですが、最近はウィルス対策ソフトの進化やセキュリティ意識の向上により、大規模感染はあまり聞かなくなりました。 (*2006/10/02:大流行しなくなったウィルスとワーム)
歩いていてふと思ったのですが、最近流行のRSSは実は恐ろしいセキュリティホールになり得るのではないかと考え始めました。 RSSセキュリティに関してはかなり前から言われていますが、次にウィルスなどの大規模感染が発生するのであればRSS経由かもと勝手に妄想してしまいました。
アフィリエイトなどの影響もあり、最近ではRSSを受け取ってそのままHTMLを生成しているページなどが数多くあります。 そのため、非常に人気があるサイトのRSSにウィルスやブラウザクラッシャーURLなどが埋め込まれると、一瞬にして悪意あるURLに対する無数のリンクが出来上がります。 無数のリンクが出来上がるので検索エンジンでの順位も上位に出てくるかもしれません。 検索エンジン運用者が気がつくのが遅れれば、RSSを使っていなくても検索を行った第三者が信用をしてマルウェアやウィルスをインストールしてしまうかも知れません。
「誰も怪しいURLはクリックしないよ」と思うかも知れません。 ですが、HTMLのタイトルが非常に魅力的であれば思わずRSSのエントリをクリックしたくなってしまうかも知れません。 また、人気のあるサイトからのRSSであればユーザは疑わずにクリックしてしまう可能性があります。 ウィルスではありませんが、ユーザが不快に思うような画像へのURLを故意に違ったタイトルでRSS配信するなどの嫌がらせなどもあり得ます。
次は「サイトを乗っ取らなければRSSを書き換えたりは出来ないだろう」と思うかも知れません。 RSS発信元にも実は脆弱な点があります。 Web2.0時代と言われる今日この頃ですが、ユーザ生成データをそのままRSSに変換している人気サイトは数多くあります。 ユーザからのデータをそのままRSSに変換しているようなサイトとしては、ソーシャルブックマークサイトなどが代表的です。 例えば、そのようなサイトに対して「田代砲」のような事をして、悪意あるURLを一時的に無理矢理ランクインさせるだけでも多くのユーザが悪意あるURLを含むRSSを取得してしまいます。 また、悪意あるURLを含むRSSから自動生成された別のサイトが、悪意あるURLを再配信してしまう可能性もあります。
RSS配信されてくるURLをいちいち疑わなければならない世の中は面倒臭いですが、この先、RSSがもっと普及して一般ユーザが使うようになるとそのような世の中が来るのかも知れないと勝手に妄想してみました。 10年後ぐらいにはセキュリティ対策ソフトがRSSのエントリチェックもするようになるかも知れませんね。
スパム対策
RSSによるセキュリティホールに関連してですが、今後、ソーシャルブックマークサイトは意図的なランキングを狙うスパマーとの戦いが激化するのではないかと思い始めました。 というより、既に戦いは始まっていると思われます。 はてなブックマークでは既にフィルタリングが始まっているようですし、diggでもランキングを操作しようとしたユーザアカウントを削除しているようです。
スパムサイトをアルゴリズムで選定するのも重要ですが、今後はユーザが自律分散的に意図的なエントリを探し出して対処するようなWeb2.0的なセキュリティ手法が必要になってくるかも知れませんね。 現時点でも見つけ出して晒している例はありますが、今後はシステムとして段々洗練されて行くような気がします。 どうやるのかに関しては、全然思いついていませんが、来年あたりはシステマチックに各ユーザがスパムを防止していく機構が色々発表されていくかも知れないと勝手に妄想してみました。 ユーザによるスパム防止システムの例としてはDiggのBuryがあげられますね。
ブックマークのランキングだけではなく、検索エンジンの結果もWeb2.0的手法で無数の人間が生成するデータを利用しつつ、スパムをふるいにかけて行くという試みが出てきそうかもとも勝手に想像してみました。 もしかすると、ユーザは気づかないうちに既に検索エンジンアルゴリズムに組み込まれているかも知れません。 例えば、Yahooの検索結果は必ずYahooを踏み台にしてページ移動をするようなURLになっていますし、Google Toolbarのquery回数を使ってサイトの人気度を測ったりできそうですし、ブックマーク数も検索エンジンパラメータとして使えそうです。 さらに、RSS reader (Aggregator)を提供してサブスクライブ数を獲得し、検索エンジン結果に加味したりなどの方法もやろうと思えばできそうだなぁと思いました。
以上、何となくとりとめもなく思いついた事をつらつらと書いてしまいました。。。
最近のエントリ
- 日本のIPv6採用状況が50%を超えている件について
- 「ピアリング戦記」の英訳版EPUBを無料配布します!
- IPv4アドレス移転の売買価格推移および移転組織ランキング100
- 例示用IPv6アドレス 3fff::/20 が新たに追加
- ShowNet 2024のL2L3
- ShowNet 2024 ローカル5G
過去記事