悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録

2002年05月08日(水) 15時50分

『ホットメール』にクッキー盗難セキュリティーホールWIRED

 『 http://www.hotmail.com/JA/ MSNホットメール』のユーザーは、自分のクッキーを防御したほうがいい。米マイクロソフト社の無料電子メールサービス、ホットメールにパスワードなしでアクセスする単純なテクニックが、どうやら悪用されているようだ。

 手口は至って簡単だ。相手のブラウザーのクッキーファイルを入手すればいい。2つの主要なクッキーを入手しさえすれば、もう締め出されることはない。ホットメールでは、クッキーがパスワードよりも重要な役割を果たしているからだ。

 ニュージャージー州に在住し、ミシガン大学でコンピューター科学の博士号を取得したプログラマー、 http://www.ericglover.com/ エリック・グローバー氏は、「この手口の恐ろしいところは、いったんクッキーを盗まれたら、永久にアカウントを使用されてしまうことだ。たとえパスワードを変えても、犯人には入り込む術がある」と述べている。

 グローバー氏がホットメールのクッキーに潜む問題を発見したのは、同氏の友人のホットメール・アカウントに友人の元上司がアクセスしはじめたときだという。友人が何回にもわたってパスワードを変更しても、元上司はアカウントを使用しつづけた。

 グローバー氏はホットメールのサインインの仕組みを調べ、次のような結論に達した。詮索好きな元上司が、グローバー氏の友人の職場のコンピューター、あるいはバックアップテープからホットメールのクッキーを盗み出し、クッキーを使って友人のメールアカウントのデジタル鍵を開け、侵入したというわけだ。

 マイクロソフト社は4月25日(米国時間)、同社が「クッキーベースのリプレイ攻撃」と呼ぶ手口から身を守るために、ホットメールサービスでは数種類のツールをユーザーに提供しているとコメントした。しかし、同社は「ユーザーを守る方法をつねに模索しているとともに、ユーザーがオンライン体験をもっと自分でコントロールできるよう努めている」とも述べている。

 これに対しセキュリティーの専門家たちは26日、今回のホットメールのセキュリティーホールによって、インターネット・サイトに接続するためのデジタル鍵としてブラウザーの http://www.netscape.com/newsref/std/cookie_spec.html クッキーに頼ることの危険性が露呈したと述べた。

 クッキーは、ウェブサイトを訪れた際にユーザーのコンピューターに保存される小型のデータファイルだが、本来はユーザーを識別して、広告などのコンテンツをユーザーごとにカスタマイズする目的で使われている。ところが、ホットメールを含む多くのサイトでは、もっと重要なユーザー認証にもクッキーが使用されている。

 このようなサイトでは、クッキーはまるで暗証番号の入力を要求しないATM用の銀行カードのように機能する。「カード」を紛失したら最後、危険を覚悟しなければならないだろう。

 「クッキーは認証の手段として作られたものでは決してない。しかし、現在ウェブ・アプリケーションを提供しようとする側にとって、実は選択肢はあまりない」と、シアトル在住のセキュリティー専門家、マーク・スレムコ氏は述べた。スレムコ氏は以前、マイクロソフト社の『パスポート』サービス内で、 http://www.hotwired.co.jp/news/news/technology/story/20011105301.html クッキー関連のセキュリティー問題を発見したことがある(日本語版記事)。

 パソコンに物理的に触れることなく、ホットメールのクッキーを盗み出すのは、どれだけ困難なのだろうか? 「朝飯前だ」とスレムコ氏は述べた。同氏は2年前すでに、 http://www.apachelabs.org/asf-announce/200002.mbox/%3CPine.BSF.4.20.0002021220410.80647-100000@alive.znep.com%3E クロスサイト・スクリプティングの欠陥が、クッキー盗難などの攻撃にどのように悪用され得るかについて指摘している。

 さらに、デンマーク在住のプログラマーでセキュリティー専門家でもあるトール・ラーホルム氏によると、『インターネット・エクスプローラ』(IE)のセキュリティーホールのおかげで、リモートのユーザーのホットメール・クッキーは簡単に盗めるという。ラーホルム氏はIEのセキュリティーホールを http://www.jscript.dk/unpatched/ リストにまとめており、その多くがクッキー盗難の手口に使えるものだ。

 「悪意あるプログラマーがねらったクッキーを盗めるかどうかは、『非常に簡単』から『簡単』の間だろう」とラーホルム氏は述べた。ブラウザーのクッキーは、暗号化されず決まった場所に保存されるという。

 スレムコ氏によると、オンライン銀行、オンライン証券会社、電子商取引サイトなど、ユーザー認証にクッキーを使用しているサイトの多くは一般に、ログインした後にユーザーの動きが数分間止まった時点で、クッキーの有効期限が切れるように設定してあるという。

 しかし、ホットメールでは、おそらくユーザーの便宜を考えて、ユーザー認証に使うクッキーの有効期間をほとんど無限に設定できる。

 ホットメールでは、サインイン時に「サインインしたままにする」というオプションをクリックすると、いくつかのクッキーがハードディクスに書き込まれる。このオプションを選択した場合、ユーザーはメールをチェックするたびにパスワードを要求されるという煩わしい手間から一日中解放される。

 MSNが http://www.passport.com/sdkdocuments/sdk14/Reference/cppreference/ifaces/ipassportmanager/cookies.htm 設定するクッキーのうちの2種類『MSPAuth』と『MSPProf』は、デジタル鍵の役割を果たす。このクッキーのおかげで、攻撃者はサインインを要求されずにホットメール・アカウントの内部ページにアクセスし、受信メッセージの閲覧、メッセージ送信、設定の変更が行なえる。

 ワイアード・ニュースがテストを行なった結果、「サインアウト」というボタンをクリックするか、コンピューターを再起動するまで、いったん作成されたクッキーはパソコン上に留まるようだった。ただブラウザーを閉じるだけでは削除されなかった。

 ホットメールのクッキーに関する問題は、オプション機能のバグが原因かもしれないとスレムコ氏は説明している。ホットメールには「セッションの終了」というオプションがあり、指定した期間が過ぎるとセッションを「自動的に終了」するのだ。

 ワイアード・ニュースのテストでは、最も厳重なセキュリティー設定でこのオプションを使用した場合でも、クッキーは別のコンピューターに転送でき、24時間経過してもなお、クッキーを使ってパスワードなしでサインインできるという結果が出た。

 スレムコ氏によると、このセッション終了機能のバグを修正する以外、マイクロソフト社がホットメールのユーザーをクッキー攻撃から守る方法はほとんどないという。

 「マイクロソフト社は便利さとセキュリティーのバランスを取ろうとしている。たとえば、パスポートの中央サーバーでのチェックをもう一段階追加すれば、システム全体が減速し、信頼性が低下するだろう」とスレムコ氏。

 グローバー氏によると、ホットメールはユーザーがどこにいても、どのコンピューターからでも、自分のアカウントにアクセスできるように作られているため、ユーザー認証に使用するクッキーがユーザーのIPアドレスを基にアクセスを制限するとは考えにくいという。

 ホットメールのユーザーがクッキー盗難から身を守るための最善策は、「サインインしたままにする」を選ばず、マイクロソフト社の http://help.msn.com/!data/en_us/data/hotmailv5.its51/$/SECURITYTIPS.HTM?H_APP=MSN+Hotmail アドバイスに従って、ホットメールを使い終えたらサインアウトすることだとグローバー氏は述べた。しかし、このような対策をとるためには、ユーザー自身が習慣を変える必要があるという。

 「ユーザーの大多数は朝起きるとまずサインインし、一日中サインイン状態を維持していると考えられる。しかしこの習慣が、自分の個人情報を盗難の危険にさらしているとは気づいていないだろう」とグローバー氏は語った。

[日本語版:米井香織/湯田賢司]日本語版関連記事

http://www.hotwired.co.jp/news/news/technology/story/20020507304.html ユーザーをうんざりさせる『ウィンドウズXP』の自動アップデート

http://www.hotwired.co.jp/news/news/technology/story/20020418301.html IEに新たなセキュリティーホール:「戻る」ボタンで攻撃開始?

http://www.hotwired.co.jp/news/news/technology/story/20020118302.html MSが方針転換?——新機能よりセキュリティーに重点

http://www.hotwired.co.jp/news/news/technology/story/20020116301.html パッチ自動ダウンロードのトラブルで危険度を増すIEのセキュリティーホール

http://www.hotwired.co.jp/news/news/technology/story/20011105301.html MS『パスポート』に重大なセキュリティーホール

http://www.hotwired.co.jp/news/news/technology/story/20010815310.html 電子メールに危険なJavaScriptコード


WIRED NEWSのメール購読申込みは http://www.hotwired.co.jp/reception/index.html こちらへ


(WIRED)

http://headlines.yahoo.co.jp/hl?a=20020507-00000003-wir-sci
この記事に対するコメント/追加情報を見る

ニュース記事一覧に戻る

トップページ