Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れるFirfoxアドオンFiresheep

次の記事

[jp]サイボウズLiveはビジネス向けソーシャルネットワークサービスに向かう

Facebookがプライバシーのルールを変えるたびにユーザーが反乱を起こすのは有名だが、実際のところ、Facebook内部のプライバシー問題など、HTTPでログインしているすべてのソーシャルサイト(TwitterやFacebookを含む)の脆弱性に比べたらまったく問題にならない。

デベロッパーのEric Butlerはこの脆弱性を暴くべくFiresheepと名付けたFirefoxアドオン(エクステンション)を開発した。このソフトウェアは、オープンWiFiを利用してログインするユーザーのクッキーを傍受する機能をもっている。

Butlerが記事で説明しているところによれば、ユーザーがオープンWiFiを通じてFiresheepに登録されている脆弱なウェブサイトにログインするたびに、そのユーザーの写真と名前が表示される。名前をダブルクリックすると―開けゴマ!―なんとそのユーザーになりすましてウェブサイトにログインできる。

ひとことで言えば―大変だ!

このツールの影響がどこまで及ぶか想像するだけでも恐ろしい。オープンWi-Fiを使ったとたんに、誰かがあなたになりすまして、あなたのもっともプライベートな情報にアクセスできてしまう。つまりTwitterのダイレクト・メッセージやFacebookのメールやチャットなどだ。そしてあなたはそれに全く気づかない。

仕組みはこうだ。安全性の低いサイトは、ユーザーをクッキー(正式にはセッションと呼ばれる)で識別している。クッキーにはそのウェブサイトがユーザーを識別する情報が含まれている。Firesheepはクッキーを抽出し、これを使って本来のユーザーになりすます。

安全性の低いサイトはTwitterとFacebookの2大サービスだけに限られない。Foursquare、Gowallaも同様だ。Firesheepがクッキーを識別できるサイトはそれらに留まらない。デフォールトで識別可能なサイトは以下の通りだ。Amazon.com、Basecamp、bit.ly、Cisco、CNET、Dropbox、Enom、Evernote、Facebook、Flickr、Github,、Google、HackerNews、Harvest、WindowsLive、NY Times、Pivotal Tracker、Slicehost、tumblr、Twitter、WordPress、Yahoo、Yelpだ。Butlerの記事によれば、誰でもFiresheepのソースコードを参考にして他のサイトのクッキーを傍受するアドオンを簡単に書けるという。

Butlerの記事がHacker Newsに掲載されてから1時間とたたないうちにFiresheepは1000回以上ダウンロードされた。使用した結果についてのツイートが上がり始めている。私自身はこの記事を書いている時点ではオープンWiFiに接続できる環境にないため、Firesheepの機能を自分で試していない。しかし、何人かのユーザーがクッキーの傍受に成功したことを報告している。


(他人のTwitterアカウントに侵入できたと報告しているツイート1件を本人からの申し出によって削除した)


元TechCrunchのデベロッパー、BensignBen Schaechter )の通報に感謝する。

なんとも悪魔的なツールだが、Butlerによれば、開発の目的は多くのウェブサイトの深刻なセキュリティー上の欠陥を暴露するためだったという。われわれは多大な時間をかけてFacebookやTwitterの瑣末なプライバシーの問題を論じてきたが、こうして巨大なセキュリティー・ホールを目前に突きつけられると、実は木を見て森を見ない事態に陥っていたように思える。

「ウェブサイトにはユーザーのプライバシーを守る責任がある。あまりに多くのウェブサイトがあまりに長くこの責任を無視してきた。もっと安全なサイトを作れと要求すべきときだ。Firesheepがこのために役立つことを願っている」とButlerは述べている。

Update: あるTechCrunch読者が Firesheepがログイン情報を盗み出すのを防止するFirefoxアドオンを発見した。
(トップページのサムネール:Flickr/David Makes

[原文へ]

(翻訳:滑川海彦/namekawa01