通産省所轄の研究所である工業技術院電子技術総合研究所 主任研究官 高木浩光氏らのセキュリティ研究グループは2000年12月13日,WWWメール・サービスのセキュリティ上の問題についての警告文書を公表した。WWWメール・サービスとは,WWWブラウザから読み書きできるインターネット・メール・サービス。問題は,ユーザーのメールが他者にのぞかれたり,個人情報を盗み見られる可能性があるというもの。
この問題は,以下のようにして発生する。(1)不正侵入しようとする侵入者が,ユーザーに自分のサーバーへのURLリンクを書いたワナのメールを送る。(2)ユーザーが,そのワナのメールを開き,示されたURLリンクをクリックしアクセスする。(3)このとき,ユーザーがアクセスしていたWWWメール・ページのURLが,WWWブラウザのHTTP_REFERERによって侵入者に送られてしまう。(4)WWWメール・ページのURLにはセッションIDが埋め込まれており,侵入者がユーザーのセッションIDを使い,ユーザーになりすましてWWWメール・サービスにアクセスできてしまう。サービスによっては「パスワードを忘れたときのためのヒント」を侵入者に覗かれ,パスワードを盗まれてしまう。また,HTMLメールを受信できるサービスでは,リンクをクリックしなくとも侵入者にセッションIDが送られる場合がある。
工業技術院電子技術総合研究所の高木氏らは,調査可能なWWWメール十数サービスについて調査し,複数のWWWメール・サービスに今回の問題が存在することを発見した。問題があったWWWメール・サービスに対し,2000年11月13日に問題の存在と対策を記したメールを送付した。EveryMailでは,認証にCookieを併用するという方法を採用し対策を講じた。またZDNetMail,WBSクラブ,ハローキティクラブでは,リンクをクリックした際に,いったんプロキシ(代理)サーバーを経由してリンク先のページに移ることで,リンク元のWWWメール・サービスのURLが送られないようようにするという方法で,すでに対策が取られている。
また,電子技術総合研究所の高木氏の発見とは独立に,この不正侵入手法自体は,2000年5月に発行されたある書籍ですでに指摘されている。この書籍では,ZiplipとRobotMailについて同様な問題が指摘されている。ZiplipではNetscape Navigatorを使うユーザーには危険があるが,SSL(Secure Sockets Layer)を使用しているため,Internet Explorer 4.0以降を使用すれば,URLが漏れることはない(詳しくは日経オープンシステム2000年12月号特集記事を参照)。また,RobotMailはプロキシ(代理)サーバーを経由する方法で,問題を修正済みである。しかし,調査されていないWWWメール・サービスなど,同種の危険が存在する可能性がある。
そのため,WWWメール・サービスのユーザーは,自衛措置を取るようにしてほしい。具体的には,次の2点を実行されたい。(1)WWWメールで受信したメール中にあるリンクを,クリックしない。アクセスする必要がある場合は,別のブラウザウィンドウを開いて,そこに目的のURLをコピー・アンド・ペーストしてアクセスする。(2)WWWメールのHTMLメール機能をOFFにする。HTMLメールを開かない。以上の措置を実行することで,危険は大幅に軽減する。
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
