米Ingrian Networksが米国時間10月2日に，“cookie poisoning（クッキーの改ざん）”と呼ばれる攻撃からWWWサイトを防御するためのプラットフォーム「Active Application Security」を発表した。

　クッキーとは，eビジネスを運用するWWWサーバーなどが生成する小さなサイズのデータで，WWWサイトを訪れた際にユーザーのパソコンにインストールし，必要に応じて内容を更新する。クッキー内部には，ユーザーを識別するための情報が入っている。ユーザーがWWWサイトを閲覧するとWWWサーバーにクッキーを返信するので，ユーザー認証やユーザーの行動監視に利用できる。

　Ingrian Networks社コーポレート＆製品開発担当副社長のRod Murchison氏は，「クッキーは誰もがアクセスでき編集可能なので，ユーザーに送信する前に適切な暗号化などを施さないと，セキュリティの上で重大な危険となりうる」と説明する。「悪意のあるハッカーは，クッキーを攻撃目標とすることがよくある。特定のWWWサイトのクッキーを自分のパソコンから探し出し，その内容や目的を解読し，ユーザー情報を編集するなどしてWWWサイトに侵入しようとするのだ」（同氏）

　Active Application Securityプラットフォームでは，クッキー内の重要な情報に暗号化処理を施し，電子署名を付加する。そして，WWWサーバーとユーザー側にあるWWWクライアントが通信するたびに，電子署名を利用してクッキーの内容を確認する。仮に悪意のあるユーザーが電子署名を削除したり情報を書き換えたりすると，電子署名とクッキーの情報の整合性が取れなくなる。その場合，Active Application Securityはそのクッキーを阻止してWWWサイトには返信しない。

　また同プラットフォームは，クッキーの内容に3DES暗号を施す。解読するには秘密鍵が必要なので，クッキーを安全に保存できることになる。

　さらに，WWWサーバーとWWWクライアント間の通信にはすべてSSL接続を利用することで，通信経路の安全も確保するという。

　「電子署名，暗号化，SSL接続を組み合わせる新しい強力な手法により，通信経路およびデータ保存の両方で脆弱性をすべて排除し，クッキー改ざんの余地をゼロにする」（Ingrian Networks社）

　クッキー改ざんに向けた同社のソリューションは，直ちに利用可能とする。

◎関連記事
■W3C，プライバシ保護の標準規格「P3P 1.0」を勧告として公開
■「安全なオンライン・ショッピングのための10カ条」--米国のセキュリティ・ベンダーがアドバイス
■リバース・プロキシでWeb改ざんのリスクを軽減する
■恐るべし“ハッカー会議”――参加者の言動に頭を痛める

[発表資料へ]