［米国］
主要Webメールに脆弱性、第三者にパスワードをリセットされるおそれあり

Computerworld米国版の独自調査で判明

（2008年09月22日）

　先週、共和党の副大統領候補であるアラスカ州知事サラ・ペイリン（Sarah Palin）氏の「Yahoo! Mail」アカウントがクラッキングされ、メールが流出するという事件があったが（関連記事）、他人のアカウントのパスワードを盗み出せるWebメールはYahoo! Mailだけではないようだ。

米国Yahoo!の無料Webメール・サービス「Yahoo! Mail」

　Computerworld米国版編集部で簡単なテストを行ったところ、米国Googleの「Gmail」、米国Microsoftの「Windows Live Hotmail」、そして米国Yahoo!のYahoo! Mailのすべてにおいて、アカウントとユーザー名がセットでわかれば、あとはたった1つのセキュリティ上の質問に答えるだけで、第三者の侵入を許すようなパスワード自動再設定機能があることが判明した。

　Computerworld米国版の記者と編集者は、3つのサービスのすべてで、自分自身や同僚のアカウントに「侵入」し、パスワードをリセットすることができた。パスワードを守る“とりで”は、アカウントのユーザー名と、母親の旧姓やペットの名前、最初に乗った車の名前など、いくつかのありふれた質問の1つへの答えしかなかった。

　セキュリティのために設けられた質問に答えるのに必要な個人情報の一部は、SNSサイトやインターネットを検索すると簡単に見つけることができる可能性がある。「rubico」と呼ばれるハッカーはこうした手口を使って、ペイリン氏のアカウントにアクセスするのに必要な答えを探し出したとされている。

　あるアカウントのユーザー名を知ったハッカー（ユーザー名は、電子メール・アドレスで@の前の部分と同じであることが多い）は、「CAPTCHA」（自動ボットを跳ね返すためにわざと歪められて書かれている無作為の文字列）を正しく入力して、セキュリティ上の質問に1つ答えるだけで、該当アカウントのパスワードを変更することができる。

　どのサービスでも、新たに設定されたパスワードを代替アドレスに通知するシステムがオプションとして利用できるが、自動的に必ず送られる仕組みにはなっておらず、すべての操作がオンラインで完結してしまう。

　メッセージ・セキュリティ・ベンダー米国Cloudmarkの新興技術部門の責任者、アダム・オドネル（Adam O'Donnell）氏によると、パスワードの自動再設定機能は、Webメールが備える標準的な機能であり、それはYahoo! Mail、Hotmail、Gmailのような無料サービスでも、あるいは契約ISPがサービスの一部として提供しているメールでも同じだという。

　オドネル氏は18日に行われたインタビューで、「ISPの利ざやはほんのわずかなものだ。パスワードのリセットを電話で依頼するシステムにした場合、そういった電話を1回を受けただけで、そのユーザーの月額利用料から出る利益は帳消しになってしまうだろう」と語った。

　また、パスワードのリセットという方式でペイリン氏のアカウントにアクセスしたというハッカーの主張を疑うセキュリティ専門家もいるなか、オドネル氏は「非常にありうることだ」と述べている。

　rubicoについては、米国テネシー州議会議員の20歳になる息子ではないか、という憶測が一部に流れているが、彼によると、ペイリン氏のパスワードをリセットするために要したオンライン上での調査時間は、わずか45分だったという。

(Gregg Keizer／Computerworld米国版)