「Gmail」の脆弱性、「Defcon」で暴露される

google 2007-08-07 17:10:41

 「Gmail」に特有の脆弱性というわけではなく、ネットワークの外側からでは悪用するのも難しいが、Robert Graham氏が「Defcon」で行ったGmailのセッションハイジャック攻撃のデモンストレーションでは、攻撃者がネットワークトラフィックを盗聴し、クッキーを盗むことで、ユーザーアカウントが乗っ取られる可能性が示された。デモでは、George Ou氏がハイジャック用に作成した電子メールアドレスが利用されたが、乗っ取られるまではあっという間だった。攻撃者はクリックして進めていくインターフェースから同アカウントにアクセスし、メッセージを送って、わずか数秒で乗っ取りを成功させたのである。

 今回のデモでは、安全でないネットワークトラフィックが、いかに簡単にごく単純なセッションハイジャックを引き起こすかが発表された。Gmailアカウントを自分と同じネットワーク内にいる第三者に乗っ取られないようにする1つの方法は、SSLバージョンを使用することだという。ただし、認証にクッキーを多用しているウェブサイトはそれでもまだ危険だと、Graham氏は警告した。

 「Greasemonkey」をインストールしていない、あるいはいまだに「Internet Explorer」を使用している場合は、「https://www.gmail.com」と入力して電子メールをチェックするようにしよう。これで、ネットワークを盗聴している者の目からGmailアカウントを守ることができる。「Firefox」のユーザーは、ここからGreasemonkeyのスクリプトを入手してインストールし、セッションが常に「安全モード」で行われるようにしておこう。

(Garett Rogers)

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!