Ruby on Railsにcookie保存関連の脆弱性、2000サイトで放置状態

Ruby on Railsの「CookieStore」では、ユーザーのセッションハッシュが暗号化されない状態でクライアントサイドのcookieに保存されていた。

[鈴木聖子，ITmedia]

　オープンソースのWebアプリケーション開発フレームワーク「Ruby on Rails」にユーザーのcookie保存に関する脆弱性が指摘され、大手サイトを含む2000あまりのWebサイトで問題が放置されているという。セキュリティ企業Kaspersky Labのニュースサービス「Threatpost」が11月26日に伝えた。

　この脆弱性はセキュリティ研究者のG・S・マクナマラ氏が9月に指摘したもので、Ruby on Railsのデフォルトのcookie保存メカニズム「CookieStore」の問題に起因する。4.0以前のバージョンでは、各ユーザーのセッションハッシュが暗号化されない状態でクライアントサイドのcookieに保存され、各cookieが恒久的に有効になっている。このためクロスサイトスクリプティング（XSS）などの攻撃を仕掛けられて情報を盗まれた場合、ユーザーのログイン情報が悪用される恐れがあるという。

　マクナマラ氏はこの問題への対応状況を調べるため、9万サイトについて追跡調査を実施し、その結果を11月20日のブログで報告した。それによると、ユーザーの情報が暗号化されない古いバージョンのRuby on Railsをいまだに使っているサイトが1897件見つかったという。

　この中には大手クラウドソーシングサイトの「Kickstarter.com」や、映画配給大手Warner Brothers傘下のWebサイトなども含まれていた。

　Ruby on Railsのバージョン4.0以降は、cookieがデフォルトで暗号化されるようになった。しかしマクナマラ氏はThreatpostに対し、「バージョン4.0以降にも問題は存在する。攻撃者が暗号化されたcookieをサーバに送信すれば、cookieのコンテンツを解読しなくても被害者になりすましてログインできる」とコメントしている。

　マクナマラ氏は解決策として、セッション情報がクライアントサイドではなくサーバサイドに保存されるcookie保存のメカニズム使用に切り替えるよう促している。