米Microsoft傘下のSkypeは現地時間2012年11月14日、パスワードリセット機能の脆弱性を修正したと発表した。複数の米メディアによると、同機能については、第三者にアカウントを乗っ取られる危険性のある不具合がWeb上で報告されていた。
Skypeは、この問題について14日早朝に通知を受けた。同日午前中、用心のためパスワードリセット機能を一時停止し、パスワードリセットのプロセスを更新して脆弱性を解決した。この問題の影響を受けたのは、同じ電子メールアドレスで複数のアカウントを登録している一部のユーザーで、同社では「少数」だとしている。
同社は現在、影響を受けたと思われるユーザーに連絡を取り、必要に応じて対応にあたっているという。声明では「当社は安全でセキュリティ保護されたコミュニケーション体験をユーザーに提供することに取り組んでおり、このたび迷惑を掛けたことを謝罪する」と述べている。
米Forbesの報道によれば、問題の脆弱性では、アカウント登録に使われている電子メールアドレスさえ分かれば、わずかな手順でユーザーのパスワードをリセットし、アカウントの乗っ取りが可能になる。この脆弱性はロシアの複数のWebサイトで数カ月前から話題になっていたほか、モンテネグロの起業家が第三者によって自身の電子メールアドレスでアカウントが登録されたことに気づき、8月にその旨をSkypeのカスタマーサポートに相談していたという。
また米InfoWorldは、2カ月前、ロシアのオンラインフォーラム「Xeksec」に同脆弱性について詳しい説明が投稿されていたと報じている。テクノロジー系ブログサイト「The Next Web」のEmil Protalinski氏が、同脆弱性によってアカウントが乗っ取られる危険性を確認し、これをMicrosoftに報告すると、その数時間後にパスワードリセット機能が遮断され、修正措置がとられたという。
[発表資料へ]
