• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

「はてなツールバー」に重要なURL情報を盗聴される恐れ,最新版で解消

勝村 幸博=ITPro 2006/02/01 ITpro
「はてなツールバー」の問題点(<a href="http://www.ipa.go.jp/security/vuln/documents/2005/JVN_77886599_hatena.html" target=_blank>IPAの情報</a>から引用)
「はてなツールバー」の問題点(<a href="http://www.ipa.go.jp/security/vuln/documents/2005/JVN_77886599_hatena.html" target=_blank>IPAの情報</a>から引用)
[画像のクリックで拡大表示]

 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2月1日,「はてな」が提供する「はてなツールバー」には,ユーザーが入力した重要なURL情報を盗聴される可能性があることを明らかにした。SSLで保護されたWebページのURLであっても,暗号化せずに同社のサーバー(はてなサーバー)へ送信するためだ。影響を受けるのはバージョン1.5.4以前。1月27日に公開された最新版1.5.5では解消されている。

 はてなツールバーとは,はてな が提供するサービスを利用しやすくするためのInternet Explorer(IE)用プラグイン・ツール。同ツールにおいて特定の機能を有効にしている場合には,はてなのWebページ以外であっても,閲覧中のページのURLが はてなサーバーへ送信される。このことは同ツールの仕様であり,ユーザーにアナウンスしていることなので問題はない。収集した情報の取り扱いなどについては,同社のプライバシ・ポリシーのページにまとめられている。

 問題は,SSLで保護されたWebページにアクセスした場合である。URL情報にはセッション情報などが含まれる場合があるので,SSL通信では,やり取りするデータだけではなくURL情報も暗号化される。ところが,バージョン1.5.4以前の はてなツールバーでは,アクセスしているページがSSLで保護されていても,そのURL情報を暗号化せずに はてなサーバーへ送信する。このため,はてなツールバーと はてなサーバーの経路上でセッション情報を盗聴されて,セッション・ハイジャックなどを許す可能性がある(IPAでは今回の問題を図を使って解説している)。

 そこで はてなでは,SSLで保護されたWebページ(URLがhttpsで始まっているページ)のURLについては,URL情報を はてなサーバーに自動送信しないように仕様を変更した。このため,仕様を変更した最新版1.5.5にアップグレードすることが,今回の問題の対策となる。

◎参考資料
◆JVN#77886599 はてなツールバーにおける URL 情報の扱いに関する問題(JP Vendor Status Notes)
◆JVN#77886599:「はてなツールバー」における URL 情報送信に関する問題(情報処理推進機構)
はてなツールバー(はてな)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る