7月28日、マカフィーはTwitterやMySpaceといったSNSのユーザー拡大に伴い、それを狙う攻撃者も増えていると警告した。「マッシュアップ攻撃」への警戒が必要だという。
マカフィーが確認した、コマンドビークルとして働く可能性のあるTwitter
マッシュアップとは、複数のAPIを組み合わせて作られたWebページまたはアプリケーションのことで、正規のWebサービスやアプリケーションの機能を拡大する時に用いられる。
このマッシュアップは攻撃者にとっても便利な機能となる。悪意のあるプログラムを正規サービスに組み込んだり、あるいは攻撃プログラムを仕込んだWebページやアプリケーションを作り上げ、ユーザーに新サービスが登場したかのように見せかけて利用させることで攻撃に利用しているという。
特にSNSでは、何かのキーワードに対して自動で反応し、発言する「ボット」と呼ばれるプログラムを導入することができる。一般的には、天気や今日の運勢などを自動で教えてくれる健全なプログラムだが、これが悪用されるケースが多く、ユーザーはスパムメッセージや脆弱性のあるWebサイトへの誘導、個人情報の流出といった危険にさらされるという。
実際にこのような犯罪は発生しており、代表的なものはSNSを利用するマルウェア「Koobfaceワーム」だ。これはユーザーをマルウェアの仕込まれたWebサイトに誘導するというワームで、同社によれば、TwitterやMySpaceなどのSNSサイトで被害が急増したとしている。
このような犯罪が起きる背景は、SNSの拡充、とくにマッシュアップによって、さまざまな機能が追加・連携するに伴い、オンライン上のプライバシーが失われていく傾向にあることをマカフィーは指摘している。自由度が高く、機能拡張も高速に行なわれる傾向があるSNSサービスでは、いままで以上にセキュリティに対しての意識を高める必要があると締めくくった。
