「Gmail」の脆弱性、「Defcon」で暴露される

google 2007-08-07 17:10:41

 「Gmail」に特有の脆弱性というわけではなく、ネットワークの外側からでは悪用するのも難しいが、Robert Graham氏が「Defcon」で行ったGmailのセッションハイジャック攻撃のデモンストレーションでは、攻撃者がネットワークトラフィックを盗聴し、クッキーを盗むことで、ユーザーアカウントが乗っ取られる可能性が示された。デモでは、George Ou氏がハイジャック用に作成した電子メールアドレスが利用されたが、乗っ取られるまではあっという間だった。攻撃者はクリックして進めていくインターフェースから同アカウントにアクセスし、メッセージを送って、わずか数秒で乗っ取りを成功させたのである。

 今回のデモでは、安全でないネットワークトラフィックが、いかに簡単にごく単純なセッションハイジャックを引き起こすかが発表された。Gmailアカウントを自分と同じネットワーク内にいる第三者に乗っ取られないようにする1つの方法は、SSLバージョンを使用することだという。ただし、認証にクッキーを多用しているウェブサイトはそれでもまだ危険だと、Graham氏は警告した。

 「Greasemonkey」をインストールしていない、あるいはいまだに「Internet Explorer」を使用している場合は、「https://www.gmail.com」と入力して電子メールをチェックするようにしよう。これで、ネットワークを盗聴している者の目からGmailアカウントを守ることができる。「Firefox」のユーザーは、ここからGreasemonkeyのスクリプトを入手してインストールし、セッションが常に「安全モード」で行われるようにしておこう。

(Garett Rogers)

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR