day by day

この広告は60日以上更新がないブログに表示されております。
新しい記事を書くことで広告を消すことができます。

 　問題のユーザーは「空飛ぶ」（リンクは公式HPです、mixi内ページではありません）というmixiアプリを専門に開発していると書かれている会社の公認アカウントです。問題が発生している期間については、私が確認した範囲で、この記事を書いている日の早朝（2010年2月22日 3:00 JST）頃に事象を確認し、現在（2010年2月22日　20:00 JST）でもまだ継続しています。

　知人から指摘された具体的な問題点というのは、該当ユーザーのトップページを開くと「avast! 4」のネットワークシールドにより、マルウェア配布サイトとしてリストされているとおぼしきサイトへのアクセスが遮断される、ということでした。私も同ソフトをいれて確認してみましたが、確かに事象は発生します。


（avast!により出力される画面）

　該当URLは「空飛ぶ」のドメインともmixiのドメインともまったく違うもので、アクセスする理由がすぐには見あたりません。試しにbannetwork.orgをWHOISで検索してみると、

Domain Name:BANNETWORK.ORG
Created On:02-Sep-2004 10:20:14 UTC
Last Updated On:20-Oct-2009 11:26:57 UTC
Expiration Date:02-Sep-2010 10:20:14 UTC
Sponsoring Registrar:OnlineNIC Inc. (R64-LROR)
Status:OK
Registrant ID:ONLC-1304805-4
Registrant Name:Dmitryi Ivastov
Registrant Organization:host-telecom.com
Registrant Street1:Mira street, 1a
Registrant Street2:
Registrant Street3:
Registrant City:Moscow
Registrant State/Province:Moscow
Registrant Postal Code:103555
Registrant Country:RU

という情報が得られました。決めつけは良くないかもしれませんが、国別のドメイン危険度にも名前が出てくるようなロシアのドメインである時点で、確かに真っ当ではない感がしてきます。

＃ちなみに、トップページを開くと現状は特に問題はないようですが、Googleのキャッシュを開こうとするとトロイの木馬であるHTML:RedirBA-infがあったことが判ります。やっぱり危険なドメインです。

　では、該当のファイルはどのようなものか、とダウンロードしてみました。ファイル名は〜.gifとなっていますが、ダウンロードしてみると中身はプレーンテキストで、PHPらしき言語でスクリプトが書かれています。中身は何やら画像を返すだけのようで、とりあえず危険なファイルではないように見えます、が。

　翻って、では何故この画像ファイル（？）にアクセスが発生したのか、を見てみました。HTMLのソースを見ればいいだけなので簡単な話で、彼のアカウントのトップページにある「wildcard 5930」というmixiアプリ（？）のソースに添付されています。

（この部分です）

　mixi内の情報（注：mixi内リンクです）を見る限り、これも「空飛ぶ」が作成しているアプリケーションのようではありますが、詳細はまったく不明です。


　さて、現状ではこのファイルについては「おそらく問題はない」と思われます。ただ、如何せんドメインの素性や使われ方（アプリに必要なものとは思えない画像を表示させている）点を考えると、危険ではないか、という感がしてしまうのは自然なことではないかと思います。
　奇しくもGumblarなど、「ページを開いてしまうだけで感染するウイルス」が広がっている時期であることを考えると、件の「謎のテキストファイル」が何時、脆弱性を突いた画像ファイルに置き換わるか判らない、という問題が存在するからです。


　知人から聞き、「空飛ぶ」の公式コミュニティを覗いたところ、「空飛ぶ」の姿勢が「会社にとって不都合な意見は完全に黙殺したまま適当な運営をしている」というのはすぐに判る状態なので、根本的にリスク管理ができていない、いい加減な会社なのだろう、と結論づけるのは簡単です。

　が、

むしろ問題はそこではなく、たとえば、ユーザーＡが、Ｘというmixiアプリを使用しているユーザーＢのページを見た時、そのmixiアプリＸに問題や脆弱性があれば、ユーザーＡもその影響を受けうる、という、考えてみれば当たり前の仕様、そのものが恐ろしく感じます。ユーザーBについてはＸというアプリを使用することはある程度「自己責任」と言えるかもしれませんが、SNSというサイトの性質上とはいえ、アプリケーションを使用し、トップページに表示させる、ということは他のユーザーまで危険に追い込むことになりかねないからです。


　こう考えると、審査などがあるとはいえ、無節操に外部ドメインからのiframe等によるファイル読み込みを実装できてしまう「mixiアプリ」という仕様は、それ自体が脆弱性となる危険をはらんでいると思わざるを得ないと思うのですが、如何でしょうか。

　もちろん普通のWebサイトでも起きうる話なのですが、mixiアプリの場合リンク先がユーザーから見て「不特定多数」になるため、mixiの表向きの安全性と実際の安全性に乖離が生じるところが一番の問題ではないか、と思います。正直なところ、「登録制に変更」などということをやっている場合ではないと、個人的には思わざるをえません。
　ただでさえmixi オープンIDなどがある現状、たとえばアカウント情報などを、mixiアプリの脆弱性や、あるいは悪意をもったmixiアプリによって盗まれる可能性も「ない」とは言えませんし。


　ちなみに、この記事の最初で触れましたが、本日（2010/02/22 03:00 JST）頃にmixiの運営側にもメールをしたのですが、対処はされていないようです。ことがセキュリティ問題である以上、対応については、遅速と言わざるを得ません。