セキュリティ団体GNUCITIZENのPetko Petkov氏が,Google Gmail利用者の連絡先と着信メールを盗む概念実証プログラムを作成した。
これについて,Pure Hackingのセキュリティ研究家Chris Gatford氏は次のように話す。「この方法を使えばすべての着信メールを転送することができる。今回は概念実証という位置づけだが,これによりこの脆弱性が悪用される可能性があることが示された」
Gatford氏の説明によると,攻撃者はクロスサイトスクリプティングの脆弱性を利用し,Gmailアカウント利用者がログインし悪意あるリンクをクリックした際にGmailアカウントを攻撃できるという。その瞬間から,攻撃者はGmailのセッションクッキーを掌握し,そのアカウントのすべてのメッセージをほかのメールアカウントに転送できるようになる。
「Googleが改修する前にこの脆弱性を突かれれば,あるいは,今回公開される前にこの脆弱性を知っていた者がいれば,Gmailの利用者は大きな損害を被る可能性がある」(Gatford氏)
Googleはクッキーを2年間保存するポリシーをとっているが,これが問題を大きくしている。
「いったんクッキーを入手してしまえば,その後2年間は,パスワードがなくても(ユーザーの)Gmailアカウントにアクセスできるのだ」
一般利用者に対するリスクは明らかだが,影響は多くの企業にも及ぶ可能性があると同氏は指摘する。社内から個人宛の電子メールをフィルタリングしていない企業があるからだ。
IBRSのセキュリティアナリストであるJames Turner氏は「プライベートのアカウントを使って仕事の情報を保存する人がいる。実際,私が勤めていたある企業では,そうすることが暗黙に奨励されていた。というのは,当時のメールサーバーは信頼できなかったからだ。しかし,こうしたやり方が最善でないことは確かだ」と話す。
「理想的には,企業は公と私の間の線を明確に引き,社内データをそこから外には持ち出さないようにと指示すべきだ。しかし,社内に,GmailやFacebookなど多様な通信手段を使って互いに情報を共有するジェネレーションYを抱えているのが現実だ」
この脆弱性の回避策の1つは,JavaScriptを無効にしたFirefoxでGmailを使うことだ。これによって,人気ウェブサイトの多くのコンポーネントについてアクセスが制限されるが,この潜在的脅威からは保護される。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
関連記事
- グーグルとMS,ダブルクリック買収めぐり米上院委員会で証言 - 2007/09/28 10:42:01
- グーグル,「Second Life」ライクな仮想世界を構築か?--米報道 - 2007/09/25 15:10:02
- グーグルのモバイル向けコンテンツ連動型広告,日本では10月に正式開始 - 2007/09/18 13:00:00