Firefoxにパスワード流出の脆弱性――MySpaceで悪用の報告も

Firefoxで保存しているパスワードが自動的に外部に送信されてしまう問題が発覚。MySpaceでは正規URLで偽のログインページがホスティングされていたという。

» 2006年11月23日 08時52分 公開
[ITmedia]

 Firefoxのパスワードマネージャに関する脆弱性が発見された。保存されたユーザー名とパスワードをユーザーが知らないうちに攻撃者に送信してしまう恐れがあるという。ブログやフォーラムなどユーザー参加型のサイトで情報を盗まれる可能性があり、人気SNSのMySpaceで実際にこの方法を使った攻撃が報告されている。

 この問題はChapin Information Services(CIS)のロバート・チャピン氏が発見し、同社サイトでコンセプト実証のデモも公開した。MicrosoftのInternet Explorer(IE)でも同じ問題が起きる可能性があるが、Firefoxの方が攻撃が成功する確率が高いという。

 チャピン氏はこの問題をリバースクロスサイトリクエスト(RCSR)の脆弱性と命名。ユーザーがFirefoxにパスワードを保存している場合、目に見えない画像リンクを知らないうちにクリックして、パスワードを別のサイトに転送してしまう可能性があると解説している。

 同氏によれば、Mozillaもこの問題を確認済みで、バージョン2.0.0.1か2.0.0.2のパッチを開発中だという。

 IEもFirefoxもユーザーが情報を送信する前にフォームのデータがどこに送られるのかをチェックできる設計になっていないため、この攻撃は成功の確率が高いとチャピン氏。ブラウザのアドレスバーには信頼できるサイトのURLが表示されているため、ユーザーが騙されやすいという。

 Firefoxの場合は保存されたユーザー名とパスワードを自動的にRCSRフォームに送信してしまうが、IEの場合は正規のログインフォームとRCSRフォームが同じページに表示されない限りこの問題は発生しないと同氏。

 MySpaceを使ったフィッシング攻撃は、英Netcraftが報告している。同社は10月27日付のアドバイザリーで、MySpaceのメインサイト上に偽のログインページが仕掛けられていると警告した。

 Netcraftによると、偽のログインページはMySpaceのサーバでホスティングされていた。プロファイルページで細工を施したHTMLを使って正規のMySpaceコンテンツを隠し、偽のログインフォームを表示していたという。

 このフォームにユーザー名とパスワードを入力すると、フランスでホスティングされているリモートサーバに情報を転送する仕掛けになっていた。

 CISではWeb管理者に対し、自分のサーバコードをチェックしてクロスサイトスクリプティング(XSS)やRCSRコードが挿入されていないかどうかを調べた方がいいと勧告している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ