logo

グーグル、クッキーの安全強化のためSSLを変更

文:Elinor Mills(CNET News.com) 翻訳校正:編集部2008年08月26日 07時00分
  • このエントリーをはてなブックマークに追加

 あるセキュリティ研究者が、公開を計画しているエクスプロイトについてGoogleと議論を続けてきた。このエクスプロイトは、セキュアだと言われているウェブサイトとの通信をセキュリティの施されていないWi-Fiネットワークで行った際、ハッカーが容易にこの通信を傍受可能にする恐れがある。FacebookやYahoo Mail、Hotmailなどのサイトはいまだ脆弱だという。

 Riverbed Technologyでリバースエンジニアリングと開発を担当しているMike Perry氏は1年前、ウェブサイトがSecure Sockets Layer(SSL)プロトコルを実装する方法に共通の脆弱性があることをBugTraqメーリングリストで発表した。SSLプロトコルはウェブ閲覧時のデータを守るための仕組み。同氏によると、多くのウェブサイトでは、SSLを使ってデータを暗号化しているのはログインの段階でだけだという。

 実際に、SSLの実装には問題が2つある。1つは、ログインページが終わると多くのサイトがSSLを使用していないこと。このため、利用者のクッキーがネットワーク上で傍受される恐れがある。この脆弱性を利用するツールは、Perry氏が2007年にこの脆弱性を発表すると同時期に、Errata SecurityのRobert Graham氏がリリースしている。

 もう1つは、正しいユーザー名とパスワードを使っているマシンを特定するためのセッションクッキーが、「secure(セキュア)」と「insecure(非セキュア)」という2つのモードを持っていること。Perry氏によって公開された脆弱性は、SSLを使用しようとしているが、クッキーに「セキュア」のフラグを付けていないサイトを標的にしている。この脆弱性を利用すると、たとえユーザーが「https」を使おうとしても、攻撃者はローカルネットワークにアクセスしてクッキーを入手することができ、それを使ってウェブの閲覧者になりすまして電子メールのアカウントや銀行口座などのサービスを利用することを可能にする、と同氏は述べる。

 この問題に対して最初の対策が実施されたのは7月のことだ。Perry氏は、Googleが「https://mail.google.com」と入力しなくてもブラウザとGmailサーバ間の通信を自動的に暗号化できるようにしたと発表したのだが、それまで何の対策も行われていなかったと述べる。

 しかし、Perry氏によると、「https://mail.google.com」と入力してサイトにアクセスした場合は自動的に「セキュア」セッションが維持されるわけではなく、クッキーが盗まれる可能性は依然としてあるという。

 Perry氏は、Hotmail、Yahoo Mail、Facebookのセキュリティ担当者に連絡を取り、それぞれのウェブサイトが「man-in-the-middle(中間者攻撃)」に対して脆弱であることを知らせたという。この脆弱性を悪用すると、同じWi-Fiネットワーク上にいるほかの人が、自分のブラウザとウェブサイト間でやりとりしたセッションクッキーを奪い取ることが可能になる。Perry氏は8月22日午後時点で、3社からの返答は得られていないという。

-PR-企画特集