題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。
| Tweet |
『ホットメール』がアカウント漏洩でダウン
Declan McCullagh 2000年5月10日11:35amPDT
米マイクロソフト社は10日(米国時間)、無料電子メールサービス『ホットメール』を停止した。パスワードを使わずに電子メールのメッセージを読むことができてしまうというセキュリティーホールを修正するためだ。
ホットメールは世界最大の無料電子メールサービスと自称しており、ユーザー数は5000万人を超える。ホットメールのアカウントは、10日午前8時頃(米太平洋夏時間)から正午頃まで、利用できなかった。
マイクロソフト社は、このセキュリティーホールについて9日の午後3時30分ころに知ったとし、修正するのに時間がかかると述べていた。「ユーザーのために、ホットメール・サーバーを短期間停止することを選んだ」と同社の広報は述べた。
ログインしようとしたユーザーには、「お客さまのアカウント情報を保持するマシンは、一時的にご利用いただけなくなっております」というそっけないメッセージが表示された。
現在は修正が済み、サービスも回復しているという。
このホールの存在は、10日朝にワイアード・ニュースによって報道された。このホールは、攻撃者が悪意をもって電子メールを送り、あるユーザーのアカウント内にあるメッセージを読めたり、送ったり、削除したりできてしまうというものだ。
攻撃は、ホットメールのユーザーが、「トロイの木馬」プログラムが埋め込まれたHTML形式の添付ファイルをクリックしたときに開始される。この添付ファイルは、『MSPAUTH』と呼ばれるセッションキーを持つホットメール・コムのクッキーを横取りし、それを攻撃者のコンピューターに転送する。
MSPAUTHキーを使って、侵略者はホットメールのアカウントに自由にアクセスできるようになる。そこに保存されている電子メールのPOPアカウントのパスワードにアクセスすることも可能になるのだ。
ホットメールには、これまでにもセキュリティー欠陥が幾つか発見されており、マイクロソフト社の対応は常に遅い。
昨年の夏に発見された欠陥は、ユーザーの電子メールアカウントが詮索好きな人々に覗かれてしまうというものだった。その時マイクロソフト社は、最初に事実を知ったときから約12時間後にこのセキュリティーホールを修正した。しかし修正作業中でさえ、すでに自分の、または誰かのアカウントにすでにログインしていたユーザーは、電子メールの送信、受信、削除を続けることができた。
今回マイクロソフト社は、この問題を知らされてから修正までに、約20時間かかった。
マイクロソフト社は先週も、UNIXやマックのユーザーならば『I LOVE YOU』ワームの被害を受ける恐れがないという批判を浴びていたところだ。
[日本語版:森さやか/合原弘子]
http://www.hotwired.co.jp/news/news/20000511302.html
題名には必ず「阿修羅さんへ」と記述してください。