2008年09月22日(月) 17時18分

主要Webメールに脆弱性、第三者にパスワードをリセットされるおそれあり（Computerworld.jp）

　先週、共和党の副大統領候補であるアラスカ州知事サラ・ペイリン（Sarah Palin）氏の「Yahoo! Mail」アカウントがクラッキングされ、メールが流出するという事件があったが、他人のアカウントのパスワードを盗み出せるWebメールはYahoo! Mailだけではないようだ。

【関連画像を含む詳細記事】

　Computerworld米国版編集部で簡単なテストを行ったところ、米国Googleの「Gmail」、米国Microsoftの「Windows Live Hotmail」、そして米国Yahoo!のYahoo! Mailのすべてにおいて、アカウントとユーザー名がセットでわかれば、あとはたった1つのセキュリティ上の質問に答えるだけで、第三者の侵入を許すようなパスワード自動再設定機能があることが判明した。

　Computerworld米国版の記者と編集者は、3つのサービスのすべてで、自分自身や同僚のアカウントに「侵入」し、パスワードをリセットすることができた。パスワードを守る“とりで”は、アカウントのユーザー名と、母親の旧姓やペットの名前、最初に乗った車の名前など、いくつかのありふれた質問の1つへの答えしかなかった。

　セキュリティのために設けられた質問に答えるのに必要な個人情報の一部は、SNSサイトやインターネットを検索すると簡単に見つけることができる可能性がある。「rubico」と呼ばれるハッカーはこうした手口を使って、ペイリン氏のアカウントにアクセスするのに必要な答えを探し出したとされている。

　あるアカウントのユーザー名を知ったハッカー（ユーザー名は、電子メール・アドレスで@の前の部分と同じであることが多い）は、「CAPTCHA」（自動ボットを跳ね返すためにわざと歪められて書かれている無作為の文字列）を正しく入力して、セキュリティ上の質問に1つ答えるだけで、該当アカウントのパスワードを変更することができる。

　どのサービスでも、新たに設定されたパスワードを代替アドレスに通知するシステムがオプションとして利用できるが、自動的に必ず送られる仕組みにはなっておらず、すべての操作がオンラインで完結してしまう。

　メッセージ・セキュリティ・ベンダー米国Cloudmarkの新興技術部門の責任者、アダム・オドネル（Adam O'Donnell）氏によると、パスワードの自動再設定機能は、Webメールが備える標準的な機能であり、それはYahoo! Mail、Hotmail、Gmailのような無料サービスでも、あるいは契約ISPがサービスの一部として提供しているメールでも同じだという。

　オドネル氏は18日に行われたインタビューで、「ISPの利ざやはほんのわずかなものだ。パスワードのリセットを電話で依頼するシステムにした場合、そういった電話を1回を受けただけで、そのユーザーの月額利用料から出る利益は帳消しになってしまうだろう」と語った。

　また、パスワードのリセットという方式でペイリン氏のアカウントにアクセスしたというハッカーの主張を疑うセキュリティ専門家もいるなか、オドネル氏は「非常にありうることだ」と述べている。

　rubicoについては、米国テネシー州議会議員の20歳になる息子ではないか、という憶測が一部に流れているが、彼によると、ペイリン氏のパスワードをリセットするために要したオンライン上での調査時間は、わずか45分だったという。

(Gregg Keizer/Computerworld米国版)

【関連記事】
副大統領候補ペイリン氏のYahoo!アカウントがハッキング被害、メールなどが漏洩
［解説］“メール盗み見”の厳しい代償——罪の意識の希薄さが招くリスク
［調査］サイバー犯罪者集団の指揮系統は“マフィア”並み——最新の調査リポートで判明
［解説］時代の要請に応える、セキュリティ・マネジメント「構築の実際」
“［インタビュー］元ホワイトハウスCSO”ハワード・シュミット氏が語る「今、ここにあるセキュリティ危機」

http://headlines.yahoo.co.jp/hl?a=20080922-00000004-cwj-secu