情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2月1日,「はてな」が提供する「はてなツールバー」には,ユーザーが入力した重要なURL情報を盗聴される可能性があることを明らかにした。SSLで保護されたWebページのURLであっても,暗号化せずに同社のサーバー(はてなサーバー)へ送信するためだ。影響を受けるのはバージョン1.5.4以前。1月27日に公開された最新版1.5.5では解消されている。
はてなツールバーとは,はてな が提供するサービスを利用しやすくするためのInternet Explorer(IE)用プラグイン・ツール。同ツールにおいて特定の機能を有効にしている場合には,はてなのWebページ以外であっても,閲覧中のページのURLが はてなサーバーへ送信される。このことは同ツールの仕様であり,ユーザーにアナウンスしていることなので問題はない。収集した情報の取り扱いなどについては,同社のプライバシ・ポリシーのページにまとめられている。
問題は,SSLで保護されたWebページにアクセスした場合である。URL情報にはセッション情報などが含まれる場合があるので,SSL通信では,やり取りするデータだけではなくURL情報も暗号化される。ところが,バージョン1.5.4以前の はてなツールバーでは,アクセスしているページがSSLで保護されていても,そのURL情報を暗号化せずに はてなサーバーへ送信する。このため,はてなツールバーと はてなサーバーの経路上でセッション情報を盗聴されて,セッション・ハイジャックなどを許す可能性がある(IPAでは今回の問題を図を使って解説している)。
そこで はてなでは,SSLで保護されたWebページ(URLがhttpsで始まっているページ)のURLについては,URL情報を はてなサーバーに自動送信しないように仕様を変更した。このため,仕様を変更した最新版1.5.5にアップグレードすることが,今回の問題の対策となる。
◎参考資料
◆JVN#77886599 はてなツールバーにおける URL 情報の扱いに関する問題(JP Vendor Status Notes)
◆JVN#77886599:「はてなツールバー」における URL 情報送信に関する問題(情報処理推進機構)
◆はてなツールバー(はてな)
