グーグル，クッキーの安全強化のためSSLを変更

　あるセキュリティ研究者が，公開を計画しているエクスプロイトについてGoogleと議論を続けてきた。このエクスプロイトは，セキュアだと言われているウェブサイトとの通信をセキュリティの施されていないWi-Fiネットワークで行った際，ハッカーが容易にこの通信を傍受可能にする恐れがある。FacebookやYahoo Mail，Hotmailなどのサイトはいまだ脆弱だという。

　Riverbed Technologyでリバースエンジニアリングと開発を担当しているMike Perry氏は1年前，ウェブサイトがSecure Sockets Layer（SSL）プロトコルを実装する方法に共通の脆弱性があることをBugTraqメーリングリストで発表した。SSLプロトコルはウェブ閲覧時のデータを守るための仕組み。同氏によると，多くのウェブサイトでは，SSLを使ってデータを暗号化しているのはログインの段階でだけだという。

　実際に，SSLの実装には問題が2つある。1つは，ログインページが終わると多くのサイトがSSLを使用していないこと。このため，利用者のクッキーがネットワーク上で傍受される恐れがある。この脆弱性を利用するツールは，Perry氏が2007年にこの脆弱性を発表すると同時期に，Errata SecurityのRobert Graham氏がリリースしている。

　もう1つは，正しいユーザー名とパスワードを使っているマシンを特定するためのセッションクッキーが，「secure（セキュア）」と「insecure（非セキュア）」という2つのモードを持っていること。Perry氏によって公開された脆弱性は，SSLを使用しようとしているが，クッキーに「セキュア」のフラグを付けていないサイトを標的にしている。この脆弱性を利用すると，たとえユーザーが「https」を使おうとしても，攻撃者はローカルネットワークにアクセスしてクッキーを入手することができ，それを使ってウェブの閲覧者になりすまして電子メールのアカウントや銀行口座などのサービスを利用することを可能にする，と同氏は述べる。

　この問題に対して最初の対策が実施されたのは7月のことだ。Perry氏は，Googleが「https://mail.google.com」と入力しなくてもブラウザとGmailサーバ間の通信を自動的に暗号化できるようにしたと発表したのだが，それまで何の対策も行われていなかったと述べる。

　しかし，Perry氏によると，「https://mail.google.com」と入力してサイトにアクセスした場合は自動的に「セキュア」セッションが維持されるわけではなく，クッキーが盗まれる可能性は依然としてあるという。

　Perry氏は，Hotmail，Yahoo Mail，Facebookのセキュリティ担当者に連絡を取り，それぞれのウェブサイトが「man-in-the-middle（中間者攻撃）」に対して脆弱であることを知らせたという。この脆弱性を悪用すると，同じWi-Fiネットワーク上にいるほかの人が，自分のブラウザとウェブサイト間でやりとりしたセッションクッキーを奪い取ることが可能になる。Perry氏は8月22日午後時点で，3社からの返答は得られていないという。

　CNET Newsがコメントを求めたところ，MicrosoftとYahooの関係者は，コメントの準備をしているところだと説明した。Facebook関係者からは，電子メールでも電話でも返答は得られなかった。

　Perry氏によると，Amazonは決済に関連した通信には暗号化を用いているが，購入履歴やレコメンデーションなどには用いていないという。Amazonの関係者は，セキュリティ対策についてはコメントしない方針だと回答した。

　Perry氏は当初，クッキーの乗っ取りを自動化する自身のエクスプロイトツールを8月24日に公開する計画だった。Perry氏は先ごろラスベガスで開催された「DEFCON 16」で，この脆弱性に関して講演した。Perry氏によると，同じ問題をターゲットにした別のエクスプロイトがすでに世の中に出回っているという。

　しかし，Perry氏は，Googleと話し合いを持った後，ツールのリリースを無期限に延期することにしたと述べた。

　Perry氏によると，Googleは主要なウェブサイトのうち，ウェブサイトの全ての通信を自動で暗号化するオプションを提供している唯一のサイトで，ログインページだけでなく，クッキーの「セキュア」プロパティを設定できるという。

　GoogleはこのオプションをGmailの消費者ユーザーだけでなく，Google Appsを利用する企業ユーザーにも展開する。同社はすでにGoogle Apps Premier Editionに同オプションを導入し，「Google Docs」「Google Calendar」などのサイトとの通信を暗号化した。

　また，ユーザーが自ら設定を変更しなくても，「https://gmail.google.com」に初めてログインしたときから，通信を「常に暗号化」するように設定を変更する可能性もあると，Perry氏は述べる。

　脆弱性の影響を受けるのは，セキュリティの施されていないワイヤレスネットワークを利用している場合で，攻撃者が同時に同じネットワークを使用している必要がある。しかし，先ごろ発見されたDNSシステムの脆弱性実証コードなど，ほかの攻撃手法と組み合わせれば，別のネットワークを利用している人々に影響を及ぼすことも可能とPerry氏は言う。DNS脆弱性のエクスプロイトは，ウェブ利用者の誰もが犠牲になる可能性があり，特別に加工されたDSLまたはケーブルモデムが用いられれば，より複雑な攻撃の犠牲になる危険性がある。DNS脆弱性もDEFCONでのテーマだった。

　Perry氏は問題に関する詳細な情報や計画をブログで公開している。