マイクロソフト、Passportにまた見つかったセキュリティホールを修正

　米Microsoftは南米のハッカーが発見した、同社のPassportオンライン認証システムのセキュリティ面の欠陥を修正した。

　この欠陥は、1999年8月までに作成された小数のアカウントに影響するもので、これを悪用した何らかのデータ改竄は報告されていないと、MicrosoftのTrustworthy Computingシニアディレクター、Jeff Jonesは説明している。

　「我々がこの欠陥を初めて耳にした際、この問題を8〜10個のアカウントで試してみようとしたが、うまくいかなかった。この影響を受けるのは、4年以上前に作成された、ごくわずかな数のアカウントだけだ」（Jones）

　この脆弱性があるのは、パスワード復旧のための秘密の質問が設定されていないHotmailアカウントで、これらはハッカーに乗っ取られる恐れがある。なお、Passportのパスワード復旧メカニズムにセキュリティ上の問題が見つかったのは、ここ2か月でこれが2度目。

　Joneによると、同社は欠陥につながるデータエラーの修正を済ませており、現在その影響を受けるアカウントを監視中だという。

　「こうしたアカウントを全て調べたが、悪用されたものは見つからなかった」（Jones）

　この欠陥は、Victor Manuel Alvarez Castroと名乗る個人セキュリティコンサルタントによる、Insecure.orgセキュリティメーリングリストへの投稿で簡単に説明されている。

　「秘密のパスワードがないアカウントは、他のユーザーが新たにパスワードを設定すれば変更できる。このようなアカウントは、Secret Questionフィールドが"notset"となっているので、簡単に判別できる」とCastroは6月27日に記している。Secret Questionフィールドを空にして、そのアカウントに新しいパスワードを設定すれば、そのアカウントを実質的に制御できる、とCastroは説明した。

　米カリフォルニア州では、暗号化されていない個人情報が悪用された場合、企業はその旨を顧客に通知しなければならないとする州法が施行されたばかり。今回の場合、顧客のアカウントが悪用された証拠がないため、Microsoftには顧客への通知の必要はないとみられている。

　なお、この新カリフォルニア州法に従わない企業は、民事裁判所に提訴される可能性がある。