【 ここから本文 】

セキュリティ


ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Choix!にブックマーク イザ!ブックマーク
print 印刷用ページの表示


[米国]
Firefoxでパスワードが流失する脆弱性が発覚

(2006年11月24日)

 米国モジラ・コーポレーションのWebブラウザ「Firefox」でパスワードが流失する脆弱性が発覚した。この問題は、Firefoxで使用されているパスワード管理ソフト「パスワードマネージャ」の欠陥が原因であり、これが悪用されると、パスワードなどのユーザー情報が攻撃者のWebサイトに送信されるおそれもある。

 この脆弱性は、ユーザーがブログやSNS(ソーシャル・ネットワーキング・サービス)などに情報を書き込んで送信するときに発生する。脆弱性を発見した米国チャピン・インフォメーション・サービシズの社長、ロバート・チャピン氏は、「Firefoxのパスワードマネージャが、要求元のサーバに対してパスワードが送信されたかどうかを確認する仕様になっていないことが原因だ」と指摘。同氏はこの攻撃を「リバース・クロスサイト・リクエスト」と命名した。

 実際、米国最大手のSNSである「MySpace」では、Webサイト内に偽のログイン・ページが作成され、この脆弱性を利用した攻撃があったという。MySpaceのサーバにパスワード情報がきちんと送信されたかどうかをFirefoxが確認していなかったのが原因だとされている。

 モジラではこの脆弱性を重大な問題と認識し、対応に追われている。チャピン氏はこの脆弱性について、「プログラミングの観点からすると、タイプミスのようなものだ。皮肉な言い方をすれば、あたりまえすぎてだれも気がつかなかったのだろう」とコメントしている。

 実は、マイクロソフトが提供しているWebブラウザ「Internet Explorer(IE)」にも、Firefoxと同様、パスワード情報を確実に要求元のサーバに返信するとはかぎらないという脆弱性がある。ただし、IEの場合は、パスワードやユーザー情報を自動送信する前に、ログイン・フォームの出所を徹底的にチェックする機能が搭載されているため、この脆弱性が原因で攻撃を受けることはほとんどないという。

(ロバート・マクミラン/IDG News Serviceサンフランシスコ支局)






関連記事

▲ページの先頭へ戻る


Insight

経営者を標的にした「スピア・フィッシング」攻撃にご用心

裁判所をかたる偽の召喚状を送りつけ、詐欺サイトへ誘導

Insight 記事一覧





key Person

ブルース・シュナイアー氏が語る「セキュリティ・シアター」の功罪

実際のリスクとのずれを生む一方で、過度の恐怖を軽減する効果もあり

key Person記事一覧



Main Topics

SOA



Weekly Ranking

集計期間:05/09〜05/15





Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国