GoogleはWebメールサービスのGmailの脆弱性を修復した。この脆弱性は、アタッカーによるユーザーのメールアカウント乗っ取りを可能にするものだった。
「Googleは先頃、潜在的なセキュリティ脆弱性がGmailサービスに影響を与えているとの警告を受けた。当社ではその後、この脆弱性を修正しており、現在そして今後のGmailユーザーは保護される」とGoogleの広報担当者であるネイサン・タイラー氏は語った。
タイラー氏はこの問題の内容については述べなかったが、Googleに近い情報筋によれば、アタッカーがユーザーのアカウントを完全に制御することができる欠陥があったという。
これは、Gmailのユーザー認証手法にあった。アタッカーは、ユーザーのいわゆる「クッキーファイル」を盗み出すことができる。その方法は、一見問題なさそうに見えるGoogle自身のWebサイトへのリンクを使うというもの。イスラエルNana NetLife Magazine誌のWebサイトが10月29日に報じた。
このクッキーにより、アタッカーはGmailに、どのコンピュータを使ってもパスワードなしで被害者のアカウントでログオンすることが可能となる。Nana NetLife誌によれば、アタッカーはパスワードが変更されてもそのGmailアカウントを使い続けることができる。ニール・ゴールドシュラッガーを名乗るイスラエル人ハッカーはこのように説明している。
Google側の調査により、犠牲となったGmailユーザーはわずかであると、同社に近い情報筋は漏らしている。
GoogleはGmailを4月に発表し、1Gバイトのストレージ容量がGmailアカウントに与えられたことで大きな話題を呼んだ。このサービスはまだβテスト中で、現行ユーザーからの招待があった場合のみ、アカウントを取得できる。GoogleはGmailの利用者数を公表していない。
Copyright(C) IDG Japan, Inc. All Rights Reserved.