CNET Newsがコメントを求めたところ、MicrosoftとYahooの関係者は、コメントの準備をしているところだと説明した。Facebook関係者からは、電子メールでも電話でも返答は得られなかった。
Perry氏によると、Amazonは決済に関連した通信には暗号化を用いているが、購入履歴やレコメンデーションなどには用いていないという。Amazonの関係者は、セキュリティ対策についてはコメントしない方針だと回答した。
Perry氏は当初、クッキーの乗っ取りを自動化する自身のエクスプロイトツールを8月24日に公開する計画だった。Perry氏は先ごろラスベガスで開催された「DEFCON 16」で、この脆弱性に関して講演した。Perry氏によると、同じ問題をターゲットにした別のエクスプロイトがすでに世の中に出回っているという。
しかし、Perry氏は、Googleと話し合いを持った後、ツールのリリースを無期限に延期することにしたと述べた。
Perry氏によると、Googleは主要なウェブサイトのうち、ウェブサイトの全ての通信を自動で暗号化するオプションを提供している唯一のサイトで、ログインページだけでなく、クッキーの「セキュア」プロパティを設定できるという。
GoogleはこのオプションをGmailの消費者ユーザーだけでなく、Google Appsを利用する企業ユーザーにも展開する。同社はすでにGoogle Apps Premier Editionに同オプションを導入し、「Google Docs」「Google Calendar」などのサイトとの通信を暗号化した。
また、ユーザーが自ら設定を変更しなくても、「https://gmail.google.com」に初めてログインしたときから、通信を「常に暗号化」するように設定を変更する可能性もあると、Perry氏は述べる。
脆弱性の影響を受けるのは、セキュリティの施されていないワイヤレスネットワークを利用している場合で、攻撃者が同時に同じネットワークを使用している必要がある。しかし、先ごろ発見されたDNSシステムの脆弱性実証コードなど、ほかの攻撃手法と組み合わせれば、別のネットワークを利用している人々に影響を及ぼすことも可能とPerry氏は言う。DNS脆弱性のエクスプロイトは、ウェブ利用者の誰もが犠牲になる可能性があり、特別に加工されたDSLまたはケーブルモデムが用いられれば、より複雑な攻撃の犠牲になる危険性がある。DNS脆弱性もDEFCONでのテーマだった。
Perry氏は問題に関する詳細な情報や計画をブログで公開している。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
