悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2003年07月03日(木) 09時00分

マイクロソフト、Passportにまた見つかったセキュリティホールを修正CNET Japan

 米Microsoftは南米のハッカーが発見した、同社のPassportオンライン認証システムのセキュリティ面の欠陥を修正した。

 この欠陥は、1999年8月までに作成された小数のアカウントに影響するもので、これを悪用した何らかのデータ改竄は報告されていないと、MicrosoftのTrustworthy Computingシニアディレクター、Jeff Jonesは説明している。

「我々がこの欠陥を初めて耳にした際、この問題を8〜10個のアカウントで試してみようとしたが、うまくいかなかった。この影響を受けるのは、4年以上前に作成された、ごくわずかな数のアカウントだけだ」(Jones)

 この脆弱性があるのは、パスワード復旧のための秘密の質問が設定されていないHotmailアカウントで、これらはハッカーに乗っ取られる恐れがある。なお、Passportのパスワード復旧メカニズムにセキュリティ上の問題が見つかったのは、ここ2か月でこれが2度目。

Joneによると、同社は欠陥につながるデータエラーの修正を済ませており、現在その影響を受けるアカウントを監視中だという。

「こうしたアカウントを全て調べたが、悪用されたものは見つからなかった」(Jones)

 この欠陥は、Victor Manuel Alvarez Castroと名乗る個人セキュリティコンサルタントによる、Insecure.orgセキュリティメーリングリストへの 投稿で簡単に説明 されている。

 「秘密のパスワードがないアカウントは、他のユーザーが新たにパスワードを設定すれば変更できる。このようなアカウントは、Secret Questionフィールドが"notset"となっているので、簡単に判別できる」とCastroは6月27日に記している。Secret Questionフィールドを空にして、そのアカウントに新しいパスワードを設定すれば、そのアカウントを実質的に制御できる、とCastroは説明した。

 米カリフォルニア州では、暗号化されていない個人情報が悪用された場合、企業はその旨を顧客に通知しなければならないとする州法が施行されたばかり。今回の場合、顧客のアカウントが悪用された証拠がないため、Microsoftには顧客への通知の必要はないとみられている。

 なお、この新カリフォルニア州法に従わない企業は、民事裁判所に提訴される可能性がある。

関連記事: 「お客様、私たちはハックされました」:加州で新法施行 MSのPassportに欠陥:ユーザーアカウント乗っ取りの恐れ 米MS、Passportの欠陥修正を完了 米MS、Passportの欠陥にFTCが罰金の可能性?

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

海外CNET Networksの記事へ

[CNET Japan]
http://japan.cnet.com/ (CNET Japan)

http://headlines.yahoo.co.jp/hl?a=20030703-00000001-cnet-sci

最新のニュース記事一覧
お問い合わせ