経済産業省商務情報政策局 情報セキュリティ政策室は2003年8月11日,Webアプリケーションでの盗聴によるなりすましの危険について対応するよう,Webサイト運営者や開発者などの団体に通知したと発表した。
この問題は,独立行政法人 産業技術総合研究所の高木浩光氏らが指摘した。インターネット上での通信が盗聴されてしまうような環境では,Cookieの暗号化機能(セキュア・モード)を正しく使用しないと,第三者がCookieを盗聴し,そのCookieを使いユーザーになりすましてアクセスできてしまうというもの。セキュア・モードのCookieは暗号化されたHTTPSページへのアクセスの際にのみ送信される。しかし,セキュア・モードでない場合,暗号化されていないHTTPのページへのアクセスの際にも送信されてしまうため,その際に盗聴される恐れがある。
高木氏らが25の著名なECサイトを調査したところ,2サイトではCookieが安全に使用されていたが,20サイトではCookieがセキュア・モードで使用されておらず,盗聴された場合なりすましが行われる可能性があった。残り3サイトは,Cookieをセッション管理に使用していなかった。
高木氏らは,対策として(1)すべてのページでHTTPSを使い,Cookieをセキュア・モードにする,(2)2つのCookieを使い分ける。すなわち,HTTPのページで発行するCookieに加え,HTTPSのページでセキュア・モードのCookieを発行する,という2つの方法を提案している。
情報処理振興事業協会 セキュリティセンターでも,この問題について警告を行っている。
(高橋 信頼=日経システム構築)
