FiresheepからWiFiでログイン情報を守る方法
by Alexia Tsotsis on 2010年10月26日

TechCrunch読者のSteve Manuelは、大きな議論を巻き起こしているFirefoxのアドオンFiresheepからログイン情報を守る方法を発見したと通報してきた。FiresheepはオープンWiFiを通じてアクセスした場合、ほとんどありとあらゆるソーシャルネットワークのログイン情報を傍受できるソフトウェアだ。

Firesheepはほとんどのソーシャルサイトが接続プロトコルに安全性の低いHTTPを利用している(接続速度が速いため)点を突いている。 ところがFirefoxにはForce-TLSというアドオンがすでに存在する。これは相手方のウェブサイトに暗号化して通信を行うHTTPSプロトコルを使うよう強制するもので、こうすればFiresheepにはユーザーのクッキーの内容が分からなくなる。

HTTPS Everywhereも同様の機能を持ったアドオンだ。これらのFirefoxアドオンはアドオンメニューから接続方式を HTTPではなくHTTPSに変更することができる。そうすればソーシャルサイトにアクセスした場合でもログイン情報を盗み取られることはなくなる。

HTTPSはユーザーデータを暗号化するのでFiresheepが内容を読み取ることができない。Force-TLSは多くのサイトに対してSSL暗号化チャンネルを利用した通信を要求できる。ただしAmazon(*)など一部のサイトではSSLオプションが存在しない。Facebook、Twitter、Googleなどの主要サイトにはすべてHTTPS接続オプションhが存在する。

設定方法:

1. アドオンをここからダウンロードしてFirefoxにインストールする。

2. ツールメニューからアドオンの設定を開き、HTTPS通信を行いたい相手サイトのドメインを入力する。

3. Firefoxを再起動。

Note: HTTPS Everywhereとは異なり、Force-TLSはHTTPS通信を行う相手サイトをユーザーが個別に指定する。

誰しもすでに知っていることとは思うが、オンラインで活動する際には常になにがしかのプライバシー上のリスクが存在する。Force-TLSをインストールすれば、近所の喫茶店で無料のオープンWiFiを使うときのリスクが多少なりと軽減できるはずだ。他のブラウザにも同様のエクステンションが存在しないか早速調査してみる。その他Firesheep対策については、何か役に立つ情報を発見次第アップデートしていく。

Steve Manuelの情報提供に感謝

トップページのサムネール: Kevin Steele

〔*日本版注:Amazon日本語版にはログイン情報をHTTPSで送信するオプション(「サインイン・セキュリティーシステムを使う」がある)〕

[原文へ]

(翻訳:滑川海彦/namekawa01

    • 匿名

      Firefox以外のブラウザの場合、とりあえず手動でURLの先頭をhttp->httpsに置換してアクセス。南京錠が閉まっているアイコンが出ればhttpsアクセス成功。Could not locate remote server エラーならそのドメインはhttpsをサポートしていない。(別のドメイン名でhttpsをサポートしている可能性はあり)。

      Twitter、Facebook、Evernote、Dropboxは単純にhttpsに置換するだけでアクセス可能。

      GMailの場合は「設定→全般」タブから「常にhttpsを利用する」にチェックを入れる。

    • http://www.facebook.com/profile.php?id=100000582816642 Masafumi Negishi

      Chromeであれば、KB SSL Enforcerという拡張が使えます。
      https://chrome.google.com/extensions/detail/flcpelgcagfhfoegekianiofphddckof

    • http://card.ly/tsuyoshi_cho Tsuyoshi CHO

      む、Force-TLSはしらなんだ

    • http://ihousehusband.wordpress.com/2010/10/27/%e6%b0%97%e3%81%ab%e3%81%aa%e3%81%a3%e3%81%9f%e3%83%8b%e3%83%a5%e3%83%bc%e3%82%b9/ 気になったニュース « IH: International Househusband

      [...] Firefoxのおもしろいやつの話題。 [...]

    • http://jp.techcrunch.com/archives/jp%e5%85%88%e9%80%b1%e3%81%ae%e8%a8%98%e4%ba%8b%e3%83%a9%e3%83%b3%e3%82%ad%e3%83%b3%e3%82%b0%ef%bc%8810%e6%9c%8825%e6%97%a5%e3%80%9c10%e6%9c%8831%e6%97%a5%ef%bc%89/ [jp]先週の記事ランキング(10月25日〜10月31日)

      [...] 6. FiresheepからWiFiでログイン情報を守る方法(2010年10月26日) 7. インターネットテレビとケーブルテレビの死, [...]

    • http://jp.techcrunch.com/archives/20101108firesheep-blacksheep/ BlackSheep―恐怖のハイジャッカー、Firesheepを検知して警告するFirefoxアドオン登場

      [...] 多くのユーザーは、サイトへのログインに強制的にHTTPSを使うという方法で対処しているが、このほどZscaler Securityは、BlackSheepというFiresheep対抗策を発表した。これは積極的にFiresheepがユーザーのセッションをハイジャックしようとしていることを探知し、防御策を取るというFirefoxのアドオンだ。 [...]

    • http://m1n0x.hp2.jp/blog/archives/861 セッションハイジャックツールFiresheepと対抗アドオンBlacksheepを検証してみた | Rubusig

      [...] FiresheepからWiFiでログイン情報を守る方法 [...]