☆FacebookやTwitterのIDがWi-Fi経由で筒抜け、Firefox用アドオンの恐怖

| コメント(0) | トラックバック(0)

 この記事を読んでみて、ある意味「通信の怖さ」を感じました。自分の ID やパスワードが盗まれたりしたらと考えたら恐いです。私は、自衛策として有線LAN しか使わないようにしています。場合によっては、有線LAN でも危ない場合もあります。家庭で使っている分には、まず、大丈夫だとは思いますが。今回の記事で Cookie が如何に大事で、また、危険にさらされる場合(他人になりすまし)もある、ということを学びました。一度、全て読んでみることをお勧めします。ちなみに、アマゾンは最近頻繁に利用していますが、セキュリティは、どちらかというと甘いように感じます。

【事例で学ぶ ネットの落とし穴】 FacebookやTwitterのIDがWi-Fi経由で筒抜け、Firefox用アドオンの恐怖 -INTERNET Watch

 今回取り上げるのは、ウェブブラウザー「Firefox」用のアドオン「Firesheep」です。このアドオンは、以前お話しした「野良AP」を含めたオープンなWi-Fiネットワークを利用して、ウェブサービスなどにログインするユーザーのCookieを記録する機能があります。

 パソコンがオープンWi-Fiネットワークに接続した状態でFiresheepが起動すると、接続しているローカルネットワーク内をスキャンし、Amazon.com、Dropbox、Evernote、Facebook、Flickr、Google、WindowsLive、Twitterなどといった、一般的によく使われているサービスにログインしている他のユーザーを発見し、リストアップしていきます。そしてそれぞれのユーザーのアイコンを表示し、そのユーザーへのなりすまし行為を極めて簡単に行えるようにする、という深刻な機能を持ったアドオンです。

 Firesheepには、Amazon.com、Dropbox、Evernote、Facebook、Flickr、Google、WindowsLive、Twitterなどなどといった、一般的によく使われているサービス(サイト)が登録されているのですが、皆さんがこうしたサービスを利用する際、ユーザーは「ログイン」という手続きを踏みますよね。この「ログイン」がもし、以前にお話ししたようにSSL通信(URLが「https://」で始まる暗号化された通信方式)ではなく通常のHTTP通信で行われると、そのログインIDやパスワードの文字がそのまま通信に含まれている=丸見え状態で送信されるわけですね。

 直接ケーブルがつながっている有線LANなら安心感が強いと感じる人も少なくないようですが、通信経路上にいる第三者というのは、何も通信事業者やプロバイダーなど(の中の人)だけとは限りません。ごく近い場所に限って見ても、(建造物内のネットワークがどうなっているかにもよりますが)たとえば集合住宅で他の部屋の人が通信を盗み見たり、という可能性もあり得ない話ではありません。

 HTTP Cookieでは、ユーザーが初めてサービスにログイン(IDとパスワードを入力)した時、サービス側のサーバーはそのユーザーアカウントに対してセッションIDという有効期限付きの通行証のようなものを割り当て、Cookieとしてブラウザーに通知します。ブラウザーはそのCookieを保存し、そのCookieが有効期限内である間は、サーバーに対しIDとパスワードの入力をすっ飛ばしてサービスにログインした状態を確立するので、ユーザーはログイン操作をすることなくサービスを利用できる、という仕組みなのです。もちろんSSL通信でログインした場合は、基本的にはCookieも暗号化されています。

 つまり先ほどのID・パスワードと同様に、HTTP通信で行われたこのセッションID(Cookie)をもし悪意ある第三者が知ることができれば、IDやパスワードを知らなくても本来のユーザーになりすましてサービスを利用することが可能になります。これが「セッションハイジャック」と呼ばれる攻撃です。

 さて、本題のFiresheepですが、先に述べたようにこれはFirefoxのアドオンです。接続しているネットワーク上から、アドオン内に登録されているウェブサービスの、先ほど述べたようなログイン情報を見つけて、記録する――これがFiresheepの機能です。

 つまり、パソコンをオープンなWi-Fiネットワークに接続した状態で起動すると、同じネットワークに接続している他のユーザーが前述のサービスに接続している様子をモニタリングすることができるのです。

この記事と同じカテゴリの記事

この記事と同じタグの記事

トラックバック(0)

トラックバックURL: http://flowerwind.sakura.ne.jp/mt5/mt-tb.cgi/1265

コメントする

このブログ記事について

« 前の記事|ホーム|次の記事 »

このページは、理恵が2010年12月17日 22:35に書いたブログ記事です。

ひとつ前のブログ記事は「☆WordPress のテーマが Movable Type に移植されつつあります」です。

次のブログ記事は「☆最近買った本00」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

アーカイブ

ステータス

ブログ記事: 1631
コメント: 381
トラックバック: 185


最終更新日:2015/02/26 04:40:43

OpenID対応しています OpenIDについて
Powered by Movable Type 5.07