Exploit Prevention Labs.のRoger Thompsonなる人物がこんなビデオ(上記)を公開して、Alicia KeysのMySpaceページが、どのようにハックされたかを説明している。ただし、ハックと言っても誰かがこのページを自由にしたということではない。
起きたのは、ユーザがどこをクリックしてもジャンプするようなリンクを、何者かがこのページに埋め込んだということ。ページ内に埋め込まれたマルチメディアのどれをクリックしても中国のウェブサイトに飛ばされて、ActiveXのコンポーネントをインストールして良いかを尋ねられる。このActiveXは、Alicia Keyのページのマルチメディアの再生に必要なもののように見えるので、多くのユーザーはインストールを承諾して、その結果PCのセキュリティーが危機に曝されることになる。
Thompsonによると、MySpaceのページはこの手の悪用にことさら弱く、それはシステムが複雑なためにユーザーが混乱するからだという。このビデオを公開しているのが、こういう悪事を防ぐためのソフトウェアを売っている会社だ、ということを考えると、この手のアタックが増えてきているという彼の話を素直に受け止めるわけにはいかない(ただし、十分あり得ることではある)。いずれにしても、ActiveXかどうかによらず、信頼できないウェブサイト(MySpaceをはじめ、ソーシャルネットワークもそうだと思うべき)からは、決してソフトウェアをインストールしてはならない、ということを思い出させてくれるよい機会にはなった。
MySpaceのページがハッキングすれすれのやり方でいじられたのは、これが初めてではない。この3月には、John McCainのMySpaceページで、本人が公式に認めたことのない立場を不覚にも表明させられたことがあった。
[原文へ]
(翻訳: Nob Takahashi)
