Google、Gmailアカウント乗っ取りの脆弱性を修復

[IDG Japan]

　GoogleはWebメールサービスのGmailの脆弱性を修復した。この脆弱性は、アタッカーによるユーザーのメールアカウント乗っ取りを可能にするものだった。

　「Googleは先頃、潜在的なセキュリティ脆弱性がGmailサービスに影響を与えているとの警告を受けた。当社ではその後、この脆弱性を修正しており、現在そして今後のGmailユーザーは保護される」とGoogleの広報担当者であるネイサン・タイラー氏は語った。

　タイラー氏はこの問題の内容については述べなかったが、Googleに近い情報筋によれば、アタッカーがユーザーのアカウントを完全に制御することができる欠陥があったという。

　これは、Gmailのユーザー認証手法にあった。アタッカーは、ユーザーのいわゆる「クッキーファイル」を盗み出すことができる。その方法は、一見問題なさそうに見えるGoogle自身のWebサイトへのリンクを使うというもの。イスラエルNana NetLife Magazine誌のWebサイトが10月29日に報じた。

　このクッキーにより、アタッカーはGmailに、どのコンピュータを使ってもパスワードなしで被害者のアカウントでログオンすることが可能となる。Nana NetLife誌によれば、アタッカーはパスワードが変更されてもそのGmailアカウントを使い続けることができる。ニール・ゴールドシュラッガーを名乗るイスラエル人ハッカーはこのように説明している。

　Google側の調査により、犠牲となったGmailユーザーはわずかであると、同社に近い情報筋は漏らしている。

　GoogleはGmailを4月に発表し、1Gバイトのストレージ容量がGmailアカウントに与えられたことで大きな話題を呼んだ。このサービスはまだβテスト中で、現行ユーザーからの招待があった場合のみ、アカウントを取得できる。GoogleはGmailの利用者数を公表していない。