編集部からのお知らせ
新着・電子インボイスの記事まとめ
記事まとめDL:オンライン確認「eKYC」

Gmailパスワードハイジャック事件:「便利なアプリケーション」が害になるとき

文:Larry Dignan(ZDNet.com) 翻訳校正:石橋啓一郎

2008-03-11 13:50

 「G-Archiver」と呼ばれるアプリケーションは、ハードディスクにGmailアカウントのバックアップを取るものだが、あまり嬉しくない機能も1つついている。ユーザー名とパスワードをくすねるのだ。

 Coding HorrorのJeff Atwood氏は、彼の読者の1人であるDustin Brooks氏が語った背筋が寒くなる話の概要を説明している。

 私は自分のGmailアカウントをローカルのハードディスクにバックアップする方法を探していた。私は、あまり失いたくない、重要な情報を大量にため込んでいた。検索をしていて、私はG-Archiverに行き当たり、一度試してみようと考えた。

 それは私が本当に探していた機能を持っていなかったのだが、私自身がプログラマーだったので、Reflectorを使ってソースコードを覗いてみた。私がそこで見たものは非常に衝撃的なものだった。作成者であるらしいJohn Terry氏は、自分のgmailアカウントのユーザー名とパスワードをソースコードの中にハードコーディングしていたのだ。これもお世辞にも賢いこととは言えないことだが、それに続いて私は、ユーザーが自分のデータをバックアップするために自分のアカウント情報を入力すると、そのプログラムは入力したユーザー名とパスワードをTerry氏の個人的なメールボックスに送っていたのに気づいた。私も自分の情報を入力した直後だったので、私はとても心配になった。

 私はブラウザを開き、Terry氏のアカウント情報を使ってgmailにログインしてみた。そのアカウントはまだ有効だった。

 Atwood氏はTerry氏の倫理とプログラマーも倫理を必要とするという話に焦点を絞っている。Marshall Kirkpatrick氏はReadWriteWebで、この話はわれわれが認証に関する標準を必要とする理由を示すものだと述べている。

 私は別の結論に至った。世に出ている多くのソフトウェアを単純に信じるわけにはいかないということだ。本当に信用できるアプリケーションとは何か?このG-Archiverは非常に便利なものに見えたが、まったくそうではなかった。

 しかし、Atwood氏の話で本当に心配なのは、コードを知っている人でも打撃を被ることがあるということだ。私なら、このアプリケーションが自分の名前とパスワードをハイジャックしているとは分からなかっただろう。多くの人は分からないに違いない。

 これらを総合すると、1つの結論に至らざるを得ない。聞いたことのない企業のソフトウェアを信用してはならないのだ。問題は、これらの事件が本物のソフトウェア企業に大きな萎縮効果を与えていたかも知れないということだ。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 運用管理

    マンガでわかる「ルール駆動開発」レガシーモダナイズを成功させる開発手法を基礎から理解する

  2. 経営

    5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは

  3. セキュリティ

    APIエコシステムを狙うサイバー攻撃が急増、Webアプリにおける最新のAPIセキュリティ対策とは?

  4. セキュリティ

    クラウドやコンテナ利用が増える中、世界の企業が利用するAPI経由の安全なアプリ構築手法とは?

  5. マーケティング

    ウェビナーによる営業活動が本格化、顧客接点が増加する一方で見えてきたハードルと解決策とは?

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]