【セキュリティ】

電子技術総合研究所がフリーメールサイト7社のセキュリティホールを指摘

■URL
http://securit.etl.go.jp/

 工業技術院電子技術総合研究所の研究グループ「インターネットアプリケーションセキュリティ脆弱性研究グループ(仮称)」は、Webベースのフリーメールサービスを提供している主要な7サイトに対し、ユーザーの個人情報等が漏洩する危険性があるとするして、メールで通達したことを明らかにした。現在、同グループのサイトで、通達メールの内容とその後の経緯について掲載されている。

 通達のメールは11月13日に送付されたもので、該当するフリーメールサイトにおいて、悪意のある第三者がユーザーになりすましてメールを読み書きしたり個人情報を盗み見ることができるとしている。

 該当するサービスの情報漏洩の危険性は、ユーザーのログイン後のセッション管理にランダムなIDをURLに付加する方法を用いていることが原因だという。各社とも、ID自体は事実上推測不可能で、ログアウトまたは最終アクセス後一定時間で無効となるため、安全は保たれるとしてきた。しかし、メール中のURLをクリックしたり、HTMLメール中のIMGタグ等によってフリーメールサイト外へのアクセスが生じた際に、HTTPヘッダーのRefererによってリンク元URLがリンク先に通知されるため、IDが漏洩するという。Referer自体はHTTPの標準的な機能であり、セキュリティホールになり得る事は古くから知られている。

 今回の問題を指摘されなかったフリーメールサイトでは、一般にセッション管理にURLではなくCookieを用いている。Cookieはサイトとユーザーの間のみでやりとりされるため、単純な外部への漏洩の危険性は少ない。しかし、悪意のあるサイトがCookieによってプライバシーを侵害する危険性を嫌うユーザーが、比較的多いとも言われている。そのため、研究グループはCookieを用いない理由として、そういったセキュリティに敏感なユーザーを取り込もうとしたのだろうと指摘している。しかし、かえってこのような単純なセキュリティホールを生じさせてしまったことは皮肉だ。

 ユーザーの対策としては、メール中のURLをクリックしないほか、HTMLメールを表示しない設定にすることを推奨している。なお、指摘された7社の大半はこの問題を認識しており、すでに対策を講じたり対策法を検討しているという。

(2000/12/14)

[Reported by 齋藤 正穂]


INTERNET Watchホームページ

INTERNET Watchグループinternet-watch-info@impress.co.jp