あなたのGmailをすべて盗まれる, Googleの巨大なセキュリティホール

次の記事

急成長非公開企業の社員が第二市場で株を売らずに流動性を手に入れるには?–137 Venturesがその答

記事の最後のアップデートを最初に読んでください。

Facebookならたぶん、これを機能として実装したいだろうが、われわれ一般ユーザにとっては大きなセキュリティホールだ。今朝(米国時間11/20)、http://guntada.blogspot.com(今はまだ、ここへ行ってはいけない!)の作者が、説明のメールをくれた。

Googleのアカウント(Gmailなどなど)にログインしている状態で、上のサイトへ行くと、Googleのメールアドレスすべて盗まれる。そして盗んだ証拠に、ただちにそれらをメールしてくる。

“匿名”モード(別名: ポルノモード)でもやられる。

どういう手口か? それは分からない。Googleからの返事もまだない。分かったのは、この悪質行為をやっているサイトはGoogleのブログプラットホーム上にある、ということだ。あるデベロッパも、困り果ててこう言っている:

どんな手口かは分からないが、Friend Connectと関係があると見て間違いないだろう。複数のiFrame間でデータを受け渡ししているのだ(だから確かにOpenSocial関連だ)。手口が何であれ、これは非常に重大なセキュリティ侵犯とプライバシー侵犯だ。Googleがただちに、数分以内で対策する、と信じたい。

大手IDPのWebサイトで過去にこんな事件はなかったと思う。とても、怖いね。

どうしても試してみたい人は(ぼくも試したけど!)、返ってくるメールがたぶんスパムフィルタにかかっていることに、注意しよう。

これはそれほど危険な手口ではないが、自分のサイトでやってみたいと思う人は多いだろう。Googleにログインしている人のメールを横取りできることは、誰が今ログインしているか分かることはもちろんだが、それ以外にも大きな価値がある。1か月前のApp Engineの問題に関連した、このコメントスレッドを読んでみよう。

アップデート: 問題のサイトは今ダウンしている。こんな画面だ:

アップデート2: ‘犯人’のVaheからのメール:

Hi Mr. Arrington,

すでにこのニュースを共有されたようですね。Googleにはたぶん分かると思うが、どうやってやったかを一般に公開したくはない(Googleから連絡があれば教えるが、まだぼくからのメールに返事をくれない)。それは完全に、Googleだけの問題だ。

問題は、多くの人にこの件について聞いてみたけど、理解しない人や気にしない人がほとんどであること。しかも大企業は、セキュリティやプライバシーは完璧だと思い込んでいる。完璧ではなくて、ただ、問題を誰も知らないし誰も気にしていないだけなのに。

それでは。
Vahe G. (Googleが相手にしたくないと思っている21歳のアルメニア人の男の子)より。

アップデート3: Googleより: “セキュリティ問題の可能性には非常に真剣に対応しています。弊社のチームは、これを積極的に調べています。また、あらためてご連絡申し上げます”。Googleは直接、Vaheに接触すべきだろう。彼自身は、話したいようだから。

アップデート4: Googleによれば、問題は解決した: “Google Apps Script APIの問題箇所を早急に修復いたしました。GmailのユーザがGoogleのご自分のアカウントにログインしている状態である特別な設計のWebサイトを訪れると、ユーザの許可なくメールが送られてしまうのは、この問題が原因でした。弊社は、この問題を実証しているサイトをただちに削除し、その直後にその機能を不能化しました。アプリケーションのセキュリティ問題の可能性に関する責任ある情報公開を、今後もsecurity@google.comにお送りくださるよう、お願い申し上げます。”

(編集部からの修正とお詫び)記事の見出しに「Gmailをすべて盗まれる」とありますが、正しくはGoogleにログインしている(Gmailの)メールアドレスを盗まれるが正しい表現でした。修正してお詫びいたします。(2010年11月27日)

[原文へ]
[jpTechCrunch最新記事サムネイル集]
[米TechCrunch最新記事サムネイル集]
(翻訳:iwatani(a.k.a. hiwa))

“あなたのGmailをすべて盗まれる, Googleの巨大なセキュリティホール” への22件のフィードバック

  1. tako より:

    マジですか?こういうセキュリティーホール見つける人は凄いな。

  2. tako より:

    マジですか?こういうセキュリティーホール見つける人は凄いな。

  3. Tsuyoshi CHO より:

    もう閉じれたんだ…ふむ

  4. Shoji Fukuda より:

    これはヤバイな

  5. Shoji Fukuda より:

    これはヤバイな

  6. […] あなたのGmailをすべて盗まれる, Googleの巨大なセキュリティホール […]

  7. あとらす より:

    これは注目!!!

  8. あとらす より:

    これは注目!!!

  9. あとらす より:

    これは注目!!!

  10. Aaa より:

    「メールをすべて盗まれる」というのはどうみても大げさでしょ。メールアドレスがサイト側に知られる程度だろう。大きな穴ではあるが、壊滅的というほどではない。

    • Hiroshi Iwatani より:

      このページにも、
      http://slashdot.jp/security/article.pl?sid=10/11/22/0111211
      誤訳の指摘がありました。

      英語のemailは、メールアドレスという意味だそうです。
      もしそうなら、私の誤訳ですね。ごめんなさい。
      (harvestという動詞は、ここでは訳しづらいので、’盗まれる’と超意訳してしまいました。)

      from 訳者

  11. うり より:

    盗まれてはいないな。

  12. […] あなたのGmailをすべて盗まれる, Googleの巨大なセキュリティホール […]

  13. […] TechCrunch JAPAN の記事によると Gmail に重大なセキュリティホールが発見された。 […]

  14. これ本当ですかね? @kyan0

  15. これ本当ですかね? @kyan0

  16. これ本当ですかね? @kyan0

  17. Test より:

    タイトルだけならまだ盗めるけどな
    方法違うけど

  18. 桃次郎 より:

    マジですか?

  19. Odorunjp より:

    盗まれたかもしれない。・・・(゚_゚i)タラー・・・

  20. […] [30]:あなたのGmailをすべて盗まれる, Googleの巨大なセキュリティホール いかがでしたでしょうか?最後に編集部と翻訳チームからみなさんに一言メッセージです! […]

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

フォロー

新しい投稿をメールで受信しましょう。

現在367人フォロワーがいます。