US-CERTは2007年10月1日(米国時間),米グーグルのGmailにクロスサイト・リクエスト・フォージェリー(CSRF)のぜい弱性が見つかったと報告した。CSRFは悪意ある人物が正規のユーザーに細工したURLのリンクをたどらせることで,そのWebサービスの設定を書き換えさせられるというぜい弱性である。

 今回のぜい弱性は,細工されたURLをたどると,任意のフィルタが作られてしまうというもの。例えば,このフィルタでは「ある特定の文字列を含むメールを別のメール・アドレスに転送する」といったことが書ける。つまり,今回のぜい弱性を悪用すれば,任意のメールを犯罪者の手元に転送するといったことができてしまうわけだ。

 現時点では,グーグルからコメントは発表されていない。US-CERTは回避策として,(1)Webブラウザではなくメーラーを使ってPOPやSMTPでメールをやり取りする,(2)Firefoxの拡張機能である「NoScript」を利用する,(3)重要なデータをやり取りする場合には,たとえメールをのぞかれても問題がないように暗号化を施す――の三つを推奨している。

 このぜい弱性はセキュリティ・ブログ「GNUCITIZEN」で9月25日に公開されたもの。10月1日になって,これをぜい弱性と認定した形である。

[参考資料(GNUCITIZEN)]
[参考資料(US-CERT)]