悪のニュース記事悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。 また、記事に対するコメントや追加情報を投稿することが出来ます。 |
2003年05月09日(金) 09時11分
MS「Passport」サービスに深刻な脆弱性(ZDNet)Microsoftの「Passport」サービスの欠陥が原因で、個人情報やクレジットカード番号などを含むユーザーのアカウントが乗っ取られる危険があることが判明した。同社は5月8日朝までにこの欠陥を修正し、よりセキュアなバージョンに置き換えている。この欠陥はPassportのパスワードのリセット機能に存在し、攻撃者はユーザー名さえ分かれば、どんなアカウントでもパスワードを変更できる。この脆弱性に関する情報は7日夜、セキュリティメーリングリストの「Full Disclosure」に投稿された。 攻撃方法が単純なこと、およびPassportのアカウントには重要な情報が保存されていることから、高度の危険性が指摘されている。 この投稿を寄せた人物は、パキスタンのセキュリティコンサルタントを名乗る自称Muhammad Faisal Rauf Danka氏。電子メールでインタビューに応え、「これは悪用とか脆弱性などと言えるものではなく、単なる欠陥だ。この欠陥はずっと以前から存在していたが、私は最近になってこれを発見した」と語っている。 米Microsoftはこの悪用を防ぐために迅速に対応。米太平洋夏時間7日午後8時前にはアドバイザリを掲載し、午後11時半までには問題の機能を事実上オフにしている。同社広報担当者Sean Sundwall氏は「パスワードのリセット機能をすべて停止した」と説明した。 この欠陥のため、1つのWebアドレス(URL)を使ってPassportサーバにパスワードのリセットをリクエストすることができるようになっていた。このURLには変更しようとするアカウントの電子メールアドレスと、攻撃者がリセットメッセージを送信させたい先のアドレスが含まれる。攻撃者はWebブラウザにこの1行を挿入することで、Passportサーバからアカウントのパスワードリセットに必要なリンクを引き出すことができ、このリンクをたどることで被害者のアカウントのパスワードを変更することができる。 Danka氏は、この問題を発見したのは友人のアカウントがハッキングされたのがきっかけだったと話している。(ZDNet) |