アカウントを乗っ取るFirefoxの拡張機能が公開 大手サイトの実態に警鐘

TwitterやFacebookなどの人気サイトで他人のアカウントを乗っ取ることができてしまうという。

» 2010年10月26日 07時55分 公開
[ITmedia]

 TwitterやFacebookなどの人気サイトで他人のアカウントを乗っ取ることができてしまうFirefoxの拡張機能「Firesheep」をセキュリティ研究者が公表した。大手のWebサイトがユーザー保護の責任を果たしていない実態に警鐘を鳴らすのが狙いだとしている。

 Firesheepは米国のWebアプリケーション開発者、エリック・バトラー氏が先の週末にセキュリティカンファレンスのToorcon 12で披露した。同氏はその背景について「Webサイトは一般的に、ログインの際にはパスワードを暗号化してユーザーを保護しているが、それ以外のものは何も暗号化されていないのが普通だ。攻撃者がHTTPセッションの乗っ取りによってユーザーのcookieを入手してしまえば、特定のWebサイトでそのユーザーのアカウントを乗っ取ることができてしまう」と指摘する。

 Firesheepは「この問題の深刻さを示すため」にリリースしたという。インストールすると、まず公開されている無線LANに接続する。ユーザーがその無線LANを使って、Firesheepにあらかじめ登録された「安全でない」Webサイトにアクセスすると、そのユーザーとしてWebサイトにアクセスできてしまうという。

他人のアカウントを盗むFiresheep(F-secureより)

 バトラー氏は、「この問題は広く知られているにもかかわらず、極めて人気の高いWebサイトが依然としてユーザーを保護していない。解決のための唯一の効果的な方法は、HTTPSやSSLを使った完全な暗号化しかない」としたうえで、FacebookやTwitterを批判している。「Webサイトにはユーザーを守る責任があるにもかかわらず、その責任を長い間無視してきた。ユーザーはもっと安全なWebを要求すべきであり、Firesheepがその助けになることを願う」と結んでいる。

 セキュリティ企業各社もブログなどでFiresheepを取り上げている。McAfeeは「このプラグインが問題なのではない。問題はSSLのログイン、または、強い暗号を使っていないWebサイトにある」と明言した。そのうえで、「大半のWebサイトをあてにできない以上、ユーザーは自分の情報を自分で守るしかない」と述べ、Electronic Freedom Foundationが提供する「HTTPS-Everywhere」というFirefox拡張機能の利用を勧めている。

 一方、F-Secureは「Firesheepが悪用されるのは確実」だと予想し、ユーザーが取るべき対策として暗号化されていない無線LANを使わないこと、VPNを利用することなどを挙げた。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ