［米国］
Firefoxでパスワードが流失する脆弱性が発覚

（2006年11月24日）

　米国モジラ・コーポレーションのWebブラウザ「Firefox」でパスワードが流失する脆弱性が発覚した。この問題は、Firefoxで使用されているパスワード管理ソフト「パスワードマネージャ」の欠陥が原因であり、これが悪用されると、パスワードなどのユーザー情報が攻撃者のWebサイトに送信されるおそれもある。

　この脆弱性は、ユーザーがブログやSNS（ソーシャル・ネットワーキング・サービス）などに情報を書き込んで送信するときに発生する。脆弱性を発見した米国チャピン・インフォメーション・サービシズの社長、ロバート・チャピン氏は、「Firefoxのパスワードマネージャが、要求元のサーバに対してパスワードが送信されたかどうかを確認する仕様になっていないことが原因だ」と指摘。同氏はこの攻撃を「リバース・クロスサイト・リクエスト」と命名した。

　実際、米国最大手のSNSである「MySpace」では、Webサイト内に偽のログイン・ページが作成され、この脆弱性を利用した攻撃があったという。MySpaceのサーバにパスワード情報がきちんと送信されたかどうかをFirefoxが確認していなかったのが原因だとされている。

　モジラではこの脆弱性を重大な問題と認識し、対応に追われている。チャピン氏はこの脆弱性について、「プログラミングの観点からすると、タイプミスのようなものだ。皮肉な言い方をすれば、あたりまえすぎてだれも気がつかなかったのだろう」とコメントしている。

　実は、マイクロソフトが提供しているWebブラウザ「Internet Explorer（IE）」にも、Firefoxと同様、パスワード情報を確実に要求元のサーバに返信するとはかぎらないという脆弱性がある。ただし、IEの場合は、パスワードやユーザー情報を自動送信する前に、ログイン・フォームの出所を徹底的にチェックする機能が搭載されているため、この脆弱性が原因で攻撃を受けることはほとんどないという。

(ロバート・マクミラン／IDG News Serviceサンフランシスコ支局)