MSのPassportに欠陥：ユーザーアカウント乗っ取りの恐れ

　米MicrosoftのPassportサービスで深刻なセキュリティ上の欠陥が見つかった。この欠陥を悪用されると、個人情報やクレジットカード番号を含む、ユーザーアカウントがハイジャックされる恐れがある。

　Passportのパスワード回復メカニズムのなかで見つかったこの欠陥を悪用した攻撃者は、ユーザ名さえ判っているものなら、どのアカウントでもパスワードを変更できてしまう。この情報は、Full Disclosureというメーリングリストで、7日水曜日（米国時間）遅くに公開された。

　簡単に攻撃を仕掛けられること、そしてPassportのアカウントに保存されることの多いデータが高い価値を持つこととが組み合わさり、この脆弱性をきわめて重要なものとしている。

　「これは本当に欠陥以外の何物でもない。それが、彼らのウェブアプリケーションのロジックのなかに隠れていた。何らかの弱点を見つけてそれを攻略したというほどのものでもないし、脆弱性と呼べる代物でさえない」。Full Disclosureメーリングリストに、この脆弱性についてのメッセージをポストした人物は、News.comへのメールのなかで、そう述べている。自らをMuhammad Faisal Rauf Dankaと名乗る人物は、「この欠陥はずっと前から存在していたもので、私がそれに気付いたのはつい最近のことだった」という。なお自分の身元については、パキスタン人のセキュリティコンサルタントでMBA入学予定者としている。

　MicrosoftはPassportを、同社ウェブサービスの未来を担う中心的な技術と宣伝している。そのアカウントは、ユーザーがオンラインで使用する自分のデータを保管しておく場所で、誕生日、クレジットカード番号などの個人情報があることに加え、複数のサイトにアクセスする際に一組のユーザー名/パスワードで済ませられるデジタルキーの役割も果たす。

　Microsoftでは早急に対策に動き、この欠陥が破壊行為を目論む者の手で濫用されないよう手段を講じた。欠陥の発見がメーリングリストにポストされたのは西海岸時間の午後8時前だったが、Microsoftでは午後11時30分までに、この脆弱な部分を含む機能の動作を解除した。「パスワードの再設定に関するすべての部分をシャットダウンした」と同社広報担当のSean Sundwallは述べている。