Googleなど大手サイトのcookie転送に問題発覚、認証かわされる恐れ

Google、Microsoft、Yahoo!などの大手サイトに脆弱性が発覚。「サービスとしてのソフトウェア」を提供しているサイトは特に危険だという。

[ITmedia]

　Google、Microsoft、Yahoo!など大手各社のWebサイトに、ユーザー認証をかわされてしまう脆弱性があることが分かり、US-CERTがアドバイザリーを公開した。

　それによると、cookieを使って認証を行っているWebサービスの中には、最初にユーザーネームとパスワードを入力してログインするときには暗号化されたhttpsセッションで認証用cookieを設定していても、セッション全体が暗号化されておらず、その後そのcookieをhttpで転送しているサイトがある。

　こうしたサイトでは、ネットワークパス上の攻撃者がcookieを含んだトラフィックを傍受して、正規ユーザーを装うことができてしまう可能性がある。

　ログイン時にhttpsを利用し、その後cookieをhttpで転送しているサイトでは、ログインページのセキュリティがセッション全体に適用されるとユーザーが考えてしまうため、危険が大きい。特に「サービスとしてのソフトウェア」を提供しているサイトは、この種の脆弱性の影響を受けやすいという。

　US-CERTのアドバイザリーでは、この脆弱性の影響を受けるベンダーとしてGoogle、Microsoft、Yahoo!を挙げ、eBayとMySpace.comは不明となっている。

　ユーザー側の回避策としては、ユーザーネームとパスワードを入力するときだけでなく、セッション全体でhttpsを使っているWebサイトを利用することなどを推奨している。