cookieの仕組みを突く新手の攻撃も、セキュリティ機関が注意喚起
ほとんどのWebブラウザでは、HTTPリクエスト経由で設定されたcookieによってリモートの攻撃者にHTTPSを迂回され、セッション情報を取得される恐れがある。
WebブラウザでcookieによるHTTPセッション管理の仕組みを規定している「RFC 6265」(旧RFC 2965)のセキュリティ問題について、米カーネギーメロン大学のCERT/CCが9月24日に脆弱性情報を公開して注意を呼び掛けた。
それによると、RFC 6265を実装しているほとんどのWebブラウザでは、HTTPリクエスト経由で設定されたcookieによって、リモートの攻撃者にHTTPSを迂回され、セッション情報を取得される恐れがある。
HTTP cookieの潜在的なセキュリティ問題については以前から指摘されていたが、中国や米国の研究チームが8月に米ワシントンで開かれたUSENIX Security Symposiumで、この問題を突いた攻撃についての論文を発表していた。
この問題を根本的に解決するためには、RFC 6265やRFC 6454を更新してcookieを処理する際の安全性を高める必要があるとCERT/CCは解説する。
研究チームでは攻撃を部分的に食い止めるための対策として、Webサイト運営者に対し、トップレベルドメインへの「HSTS(RFC 6797)」の導入、「includeSubDomains」オプションの利用を勧告している。
この問題は、米Apple、Google、Microsoft、Mozillaなどが提供する主要ブラウザが影響を受ける。ユーザー側ではWebブラウザを常に最新版に保つようCERT/CCは勧告。特にMicrosoftのInternet Explorer(IE)については、2015年6月からHSTSのサポートが追加されたIE 11以降のバージョンに更新するよう促している。
関連記事
短時間でcookie解読、RC4暗号通信を破る新手法
HTTPS通信などに使われる暗号アルゴリズムの「RC4」を突破する新たな方法をセキュリティ研究者グループが発表した。
Ruby on Railsにcookie保存関連の脆弱性、2000サイトで放置状態
Ruby on Railsの「CookieStore」では、ユーザーのセッションハッシュが暗号化されない状態でクライアントサイドのcookieに保存されていた。
cookie削除後も行動追跡を続ける「supercookie」に研究者が警鐘
スタンフォード大学の研究者は、Microsoftが運営する「live.com」サイトでsupercookieの手法を使って削除したはずのcookieが再生されているのが見つかったと報告した。
Cookieは悪くない――潜む漏えいパターンの真実
日ごろ何げなくPCに保存されているCookieという名の情報保存の仕組み。この仕組みには、アクセス先のサイトによって暗号化を行っていない場合や、無用に長い保存期間で設定されている場合がある。サーバ管理者やユーザーは何に注目すればよいのか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
ITmediaはアイティメディア株式会社の登録商標です。