IEに「cookieの抜け穴」――個人情報漏洩の恐れも(ZDNN)

 ★阿修羅♪   
[ フォローアップ ] [ フォローアップを投稿 ] [ ★阿修羅♪ Ψ空耳の丘Ψ6 ] [ FAQ ]

 
投稿者 FP親衛隊国家保安本部 日時 2000 年 5 月 12 日 23:37:44:

【米国発】 2000.5.11 5:17 PM PT――

コンピュータバグ追跡者たちが,MicrosoftのブラウザInternet Explorer(IE)に,cookieの抜け穴があると報告した。IEユーザーが特別に用意された悪質なJavaScriptコードをクリックした場合,そのユーザーのcookieファイルから個人情報が漏洩するおそれがあるという。Microsoftは,この問題を解消するパッチを準備中だとしている。
この問題はPeacefire.orgのWebサイトでBennett HaseltonとJamie McCarthyの両氏が報告したもの。Haselton氏は若者のための反検閲グループとしてPeacefireを組織し,過去にコンテンツ遮断ソフトの回避策を見つけ出した人物。また最近ではMicrosoftとNetscapeのブラウザ,およびHotmailの電子メールアカウントに関する一連のWebベースの弱点を指摘している。
今回の抜け穴は,cookie情報アクセスの際の,IEのURL解釈の手法に関する問題だという。cookieはユーザーのコンピュータに保存されている小さなテキストファイル。プリファレンスのほか特定のWebサイト用のパスワードが含まれていることもある。

◎情報漏洩の仕組み

Haselton氏の説明によると,cookieが盗まれる手順は以下の通り。ユーザーがあるWebサイトにアクセスする際,ブラウザはユーザーが入力するアドレス(例えば「www.amazon.com」)を参照して,特定のcookieへのアクセスが必要かどうかを決定する。この例の場合,Amazon.comのWebサーバは「Amazon.com」のcookieへのアクセスを許される。
Haselton氏は,IEに偽の情報を与え,特定のサイト用のcookie情報へのアクセスを開かせる実験のためにあるJavaScriptのプログラムを作成。これを使って実際にPeacefire.orgのサーバにcookieを送らせることができたという。
同氏は長いURLの中で,「/」や「?」の代わりに,「%2f」「%3F」などの16進法の記号を入力した。これら記号を解釈して,ブラウザはPeacefireのサイトにつながれたが,他の特定サイトのcookiにもアクセスできてしまった(Peacefireの説明全文はこちらを参照)。このcookie泥棒コードを有効にするには,ユーザーが特定のボタンやリンクをクリックする必要がある。

◎cookieに含まれる情報

cookieには通常,クレジットカード番号などの重要な個人情報が含まれているわけではないことは,Haselton氏も認めるところだ。しかしHotmailやYahoo!など無料電子メールサイトの中には,既に自社サイトにログインしているユーザーの認証にcookieを利用しているところがある。
「他人がそのサイトからログアウトするまでの間,そのアカウントにアクセスが可能になる」とHaselton氏はMSNBC.comに語っている。ユーザーがログアウトすると,cookieファイルはクリアされる。
電子商取引サイトでは,cookieはユーザーの「ショッピングカート」の記録を残すためにも利用されている。Amazon.comのcookieには,個人がどんな読み物を好むかなどの情報が含まれている可能性がある。だが,Haselton氏によると,ユーザーが実際に購入した記録はcookieには残らないという。
意図的にNYTimes.comなどのサイト用のcookie情報からユーザー名とパスワードを盗み出し,他のサイトでこの情報を使ったログインを試みることも可能だとHaselton氏。
5月12日現在で,このテクニックが野放し状態で悪用されている様子はない。この問題はWindows 95/98/NT版のIEで発見されているが,MacintoshやUNIX用のMicrosoft製ブラウザでは見られない。

◎Microsoftの対応

Microsoftでは,このセキュリティホールにより問題が発生する可能性があるが,回避策もあるとしている。
同社は次のようなコメントを出している。「Microsoftは顧客情報の保護に努めている。IEからcookie情報が受け渡されることに関するセキュリティ上の弱点を解決するためのパッチを現在開発中で,間もなくリリースできる見通しだ。この問題に関する情報およびパッチの入手方法に関しては,当社のセキュリティ情報サイトに掲載される予定になっている」
同社によれば,「『IE Security Zones』機能を利用して,信用できないサイトでのActive Scriptingを無効にしているユーザーは,この問題の影響は受けない」とのこと。
Haselton,McCarthyの両氏は,パッチが用意されるまで,IEでJavaScriptを無効にするようアドバイスしている。Microsoftの広報担当者は,このアドバイスに関してはノーコメントだった。
今月に入って世界中で「I Love You」ウイルスの被害が拡大したことから,現在オンラインセキュリティに対する懸念が高まっている。
[Alan Boyle, MSNBC & ZDNet/USA]


フォローアップ:


  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。