Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れるFirfoxアドオンFiresheep

次の記事

[jp]サイボウズLiveはビジネス向けソーシャルネットワークサービスに向かう

Facebookがプライバシーのルールを変えるたびにユーザーが反乱を起こすのは有名だが、実際のところ、Facebook内部のプライバシー問題など、HTTPでログインしているすべてのソーシャルサイト(TwitterやFacebookを含む)の脆弱性に比べたらまったく問題にならない。

デベロッパーのEric Butlerはこの脆弱性を暴くべくFiresheepと名付けたFirefoxアドオン(エクステンション)を開発した。このソフトウェアは、オープンWiFiを利用してログインするユーザーのクッキーを傍受する機能をもっている。

Butlerが記事で説明しているところによれば、ユーザーがオープンWiFiを通じてFiresheepに登録されている脆弱なウェブサイトにログインするたびに、そのユーザーの写真と名前が表示される。名前をダブルクリックすると―開けゴマ!―なんとそのユーザーになりすましてウェブサイトにログインできる。

ひとことで言えば―大変だ!

このツールの影響がどこまで及ぶか想像するだけでも恐ろしい。オープンWi-Fiを使ったとたんに、誰かがあなたになりすまして、あなたのもっともプライベートな情報にアクセスできてしまう。つまりTwitterのダイレクト・メッセージやFacebookのメールやチャットなどだ。そしてあなたはそれに全く気づかない。

仕組みはこうだ。安全性の低いサイトは、ユーザーをクッキー(正式にはセッションと呼ばれる)で識別している。クッキーにはそのウェブサイトがユーザーを識別する情報が含まれている。Firesheepはクッキーを抽出し、これを使って本来のユーザーになりすます。

安全性の低いサイトはTwitterとFacebookの2大サービスだけに限られない。Foursquare、Gowallaも同様だ。Firesheepがクッキーを識別できるサイトはそれらに留まらない。デフォールトで識別可能なサイトは以下の通りだ。Amazon.com、Basecamp、bit.ly、Cisco、CNET、Dropbox、Enom、Evernote、Facebook、Flickr、Github,、Google、HackerNews、Harvest、WindowsLive、NY Times、Pivotal Tracker、Slicehost、tumblr、Twitter、WordPress、Yahoo、Yelpだ。Butlerの記事によれば、誰でもFiresheepのソースコードを参考にして他のサイトのクッキーを傍受するアドオンを簡単に書けるという。

Butlerの記事がHacker Newsに掲載されてから1時間とたたないうちにFiresheepは1000回以上ダウンロードされた。使用した結果についてのツイートが上がり始めている。私自身はこの記事を書いている時点ではオープンWiFiに接続できる環境にないため、Firesheepの機能を自分で試していない。しかし、何人かのユーザーがクッキーの傍受に成功したことを報告している。


(他人のTwitterアカウントに侵入できたと報告しているツイート1件を本人からの申し出によって削除した)


元TechCrunchのデベロッパー、BensignBen Schaechter )の通報に感謝する。

なんとも悪魔的なツールだが、Butlerによれば、開発の目的は多くのウェブサイトの深刻なセキュリティー上の欠陥を暴露するためだったという。われわれは多大な時間をかけてFacebookやTwitterの瑣末なプライバシーの問題を論じてきたが、こうして巨大なセキュリティー・ホールを目前に突きつけられると、実は木を見て森を見ない事態に陥っていたように思える。

「ウェブサイトにはユーザーのプライバシーを守る責任がある。あまりに多くのウェブサイトがあまりに長くこの責任を無視してきた。もっと安全なサイトを作れと要求すべきときだ。Firesheepがこのために役立つことを願っている」とButlerは述べている。

Update: あるTechCrunch読者が Firesheepがログイン情報を盗み出すのを防止するFirefoxアドオンを発見した。
(トップページのサムネール:Flickr/David Makes

[原文へ]

(翻訳:滑川海彦/namekawa01

“Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れるFirfoxアドオンFiresheep” への176件のフィードバック

  1. […] Design Interactive 彼女との関係を上手くいかせるための20の方法 – らばQ Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… ジョニデ主演「パイレーツ」最新作邦題は「生命の泉」に決定! – […]

  2. […] – iNSIDE ペーパーレスで快適な旅を – ライフハッカー[日本版] Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… PCレスでEvernote活用!書類の極楽“クラウド”管理術 – […]

  3. […] EMC、アイシロンを買収計画 – 朝日新聞 ジョニデ主演「パイレーツ」最新作邦題は「生命の泉」に決定! – エイガドットコム 「端末」「サービス」「料金」に見える、スマートフォン戦略の温度差 – 日経トレンディネット 手帳を使って夢に向かおう – 日本経済新聞 凸版、クラウド実現に向けIBM製品を用いてインフラの仮想化統合を開始 – マイコミジャーナル HOME >> 競馬最新ニュース >> 【京王杯2歳S】グランプリボスが前走惨敗から見事な巻き返し! – UMAJIN.net クラウド連携を強化したWSS 2008 R2搭載NASが12月中旬より提供開始に – クラウド Watch カウネットにて「リモートPC操作どこでもマイオフィス」を販売開始 ~中小企業向けリモートアクセスサービス~ – 朝日新聞 [AWARD受賞製品]クラウドにパソコンなしでスキャナやUSBメモリーのデータをアップロード – ITpro Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… […]

  4. […] Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… 『モンスターハンターポータブル 3rd』発売日迫る、最新情報も続々到達・・・カプコンニュース(11/16) – iNSIDE NTT東日本、家庭用クラウド端末「光iフレーム」とアプリマーケットを開始 – PRONEWS 「端末」「サービス」「料金」に見える、スマートフォン戦略の温度差 – 日経トレンディネット 操作性優れるiPad用メモアプリ「Notes Plus」 – 読売新聞 【ブログ】米国民は中間選挙結果に肯定的=WSJ/NBC調査 – ウォール・ストリート・ジャーナル日本版 第1回 クラウド時代のサーバ市場に何が起きているのか? – @IT […]

  5. […] -エフセキュアブログ – マイコミジャーナル Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… […]

  6. […] 日経BP社 雑誌と書籍と最新ニュースの総合電子書店 – nikkei BPnet Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… HOME >> 競馬最新ニュース >> […]

  7. […] オンラインでのセキュリティーに関して、ほとんどの一般ユーザーの意識は非常に低い。たとえば、多くのユーザーが同じパスワードをすべてのサービスに使い回している。そしてそのパスワードでオープンなWi-Fiホットスポットに接続する。誰かが傍受していやしないかなどという考えは全く浮かばないらしい(Firesheepなんてものが出まわっているにもかかわらず)。それだけにスタートアップが新しいサービスを公開する際に、業界標準のセキュリティー上の措置を取り、多少なりと一般ユーザーの安全を高める努力をしないでいるのを見るのは腹立たしい。 […]

  8. […] – CNET Japan Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… スティッチが映画「トロン:レガシー」と夢のコラボ! – 読売新聞 […]

  9. […] for Windows」v4.0.2を公開 – 窓の杜 Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… グリーとIDCフロンティア、ソーシャルアプリ向けのクラウドサービス […]

  10. […] – Dream News (プレスリリース) Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… インフォテリア、開発中のiPhone用カレンダーアプリケーション […]

  11. […] グローバル 最新ニュース – IBTimes 【リリース】ゲームロフトの人気7タイトルがGalaxy Tabで今後遊べるように – 4Gamer.net [AWARD受賞製品]クラウドにパソコンなしでスキャナやUSBメモリーのデータをアップロード – ITpro 新しい「Evernote for Android」でクラウドなボイスレコーダーに – ケータイ Watch 最新ニュース – スポーツニッポン 【パソコン快適活用術】1PasswordとDropboxでWindows/Mac/iPhoneのパスワード同期 – Techinsight japan 『モンスターハンターポータブル 3rd』発売日迫る、最新情報も続々到達・・・カプコンニュース(11/16) – iNSIDE 「ハリポタ」最新作が封切り シリーズ累計1000億円目指す – エイガドットコム Q&Aサイトに寄せられた豆知識 – はてなブックマークニュース Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… […]

  12. […] – アキバ経済新聞 ヘッドラインニュース – ヨコハマ経済新聞 Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… “Dropbox”などを使って複数PCで付箋を共有可能になった「付箋紙 […]

  13. […] 高機能プレゼンアプリ『EBooklet2』 – マイコミジャーナル Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… クラウドサービス「Evernote」、ユーザーが500万人を突破 – 朝日新聞 […]

  14. […] リバーベッド、初のクラウド対応ソリューション – 読売新聞 Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… 各種クラウドサービスとの連携を強化したTweetMe AIR版を提供 […]

  15. […] Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… 操作性優れるiPad用メモアプリ「Notes Plus」 – 読売新聞 グーグルAppsでブラックベリー使えるサービス – 読売新聞 低価格クラウド対応型ミラーリングソフトウェア「MiKaGaMi」と「DropBox」との連携事例を公開 – CNET Japan イケア・ハック満載のサスティナビリティハウスに行ってみよう! – ライフハッカー[日本版] インフォテリア、開発中のiPhone用カレンダーアプリケーション 「TwitCal」と「Evernote」の連携を表明 – 朝日新聞 新しい「Evernote for Android」でクラウドなボイスレコーダーに – ケータイ Watch 楽しそうなクラウド OS、ダンボール、雪だるま – インターネットコム NTTデータとマイクロソフト日本法人、クラウドで提携 – 日本経済新聞 クラウドサービス「Evernote」、ユーザーが500万人を突破 – 朝日新聞 […]

  16. […] – CNET Japan 最新ニュース – スポーツニッポン Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… 営業先での対面説明にも最適! 高機能プレゼンアプリ『EBooklet2』 – […]

  17. […] Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… 大量のデジカメ画像を活用しやすく管理する技 – ASCII.jp 宮崎駿、監督最新作はブリューゲルの名画に着想!「宮崎監督はまだまだ映画を作る」 – シネマトゥデイ アップルとEvernoteを熟知した著者陣が書いたiPad電子書籍アプリ「Evernoteパーフェクト活用ガイド」 – MdN Design Interactive 居心地を悪くして生産性を上げるライフハック – ライフハッカー[日本版] スマートフォン全盛に、ライフハック手帳で紙との付き合い方を考える – @niftyビジネス 手帳を使って夢に向かおう – 日本経済新聞 ネットスイート、クラウド型ERPの最新版をリリース–新たにワークフロー機能を装備 – CNET Japan 「モテノート」が最強のモテ術かもしれない ホリケンさんだってノートをとっている! – リアルライブ 南町田に都内初のIMAXデジタルシアター、「ハリポタ」最新作でオープン – エイガドットコム […]

  18. […] デジタルカレンダー使いがライフハックプランナーを使ったら、あまりの便利さに泣いた件 – @niftyビジネス Ecamm Network Releases AirPrint Bridge Printopia – PC World 大量のデジカメ画像を活用しやすく管理する技 – ASCII.jp テレビ関連ニュース 山本寛最新作『フラクタル』 引退覚悟でアニメの”原点”に挑む – テレビドガッチ (ブログ) 南町田に都内初のIMAXデジタルシアター、「ハリポタ」最新作でオープン – エイガドットコム 紛失対応、利用管理、安全性確保を高品質なクラウドサービスでご提供する – 日本経済新聞 (プレスリリース) マピオンがEvernoteと連携を開始、地図や施設の情報が保存可能に – マイコミジャーナル ネットスイート、クラウド型ERPの最新版をリリース–新たにワークフロー機能を装備 – CNET Japan 最新ニュース地図一覧 – アキバ経済新聞 Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… […]

  19. […] 【ブログ王国】藤田騎手&三浦騎手が東西重賞をWゲット!! – UMAJIN.net Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… […]

  20. […] 低価格クラウド対応型ミラーリングソフトウェア「MiKaGaMi」と「DropBox」との連携事例を公開 – CNET Japan マイクロソフト、プライベートクラウド導入推進プログラム「Hyper-V Cloud」を展開 – CNET Japan アドバンスト・メディア、iPhone向けDSR版「音声認識メール」の機能を大幅に向上 – 日本経済新聞 (プレスリリース) TechChickTips Episode 78 – iPad Apps – Productivity – Appolicious グリーとIDCフロンティア、ソーシャルアプリ向けのクラウドサービス – 朝日新聞 HOME >> 競馬最新ニュース >> 【京王杯2歳S】グランプリボスが前走惨敗から見事な巻き返し! – UMAJIN.net 3000万円からのクラウド箱「IBM CloudBurst」を解剖する – ASCII.jp 【リリース】ゲームロフトの人気7タイトルがGalaxy Tabで今後遊べるように – 4Gamer.net 南町田に都内初のIMAXデジタルシアター、「ハリポタ」最新作でオープン – エイガドットコム Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… […]

  21. […] 4 for Windows」が公開 – マイコミジャーナル Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… 「Drop.io」サービス終了後に使えるファイル共有サービスあれこれ。 – […]

  22. […] – @niftyビジネス 最新ニュース地図一覧 – アキバ経済新聞 Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… […]

  23. […] – マイコミジャーナル Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… NECカシオ、新スマートフォンは「クラウド」に注力 – […]

  24. […] – Techinsight japan Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… スマートフォン全盛に、ライフハック手帳で紙との付き合い方を考える […]

  25. […] – 朝日新聞 Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… イケア・ハック満載のサスティナビリティハウスに行ってみよう! – […]

  26. […] – シネマトゥデイ Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れ… iTunesを使わずにiPhoneのデータを同期する方法あれこれ – […]

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

フォロー

新しい投稿をメールで受信しましょう。

現在379人フォロワーがいます。