Top Firefox拡張機能(アドオン) >ワイヤレスネットワークから他人のアカウントを盗み取ることができるFirefoxアドオン「Firesheep」
2010年10月26日

ワイヤレスネットワークから他人のアカウントを盗み取ることができるFirefoxアドオン「Firesheep」

多くのウェブツールやサービスでは、ユーザーを識別するために「ログイン」という作業が必要となりますが、ログインが必要なサイトの多くが暗号化などされないままとなっています。

その認証にクッキーが使われていることはよく知られていることですが、このクッキーが盗まれるとどのようなことになるのでしょうか。

そんなウェブサイトへのログインに関する危険性を提唱するために公開されたFirefoxアドオンが大きな話題を呼んでいます。

「Firesheep」と名付けられたこのアドオンは、ワイヤレスネットワーク(WiFi)でログインしてTwitterやFacebookを利用しているユーザーからこのクッキーを盗み出し、その人になりすましてログインできてしまうという恐ろしいアドオンです。

ワイヤレスネットアドオンをインストールするとサイトバーにツールが開くようになっています。

オープンなワイヤレスネットワークに接続した状態で、サイドバー上部にある[Start Capturing]ボタンをクリックすると、TwitterやFacebookなどのサイトへ暗号化無しに接続しているユーザーを発見し、その名前や画像などのアカウント情報がサイドバー表示されるようになります。


Firesheep.png


このように表示された他人のアカウント情報をダブルクリックするとそのユーザーとしてサービスにログインできてしまうのです。

このようなアカウントのジャックはEvernoteやtumblr、WordPressなど、その他数十のサイトでも可能とのことで、代表的なウェブサービスの多くが危険にさらされているということになります。

最近ではどこでも公共のワイヤレスネットワークに接続してこうしたサービスを利用できるようになっていますが、何も意識せずにサービスを利用していると思わぬ損害を受ける可能性があるということですね。

TechCrunchの記事によるとFirefoxアドオン「Force-TLS」や「HTTPS Everywhere」などを使ってこうしたサービス利用時にはhttps接続で暗号化を行うことにより情報を読み取られずにすむということですので、セキュリティに敏感なユーザーは導入しておいてはいかがでしょうか。

なお、「HTTPS Everywhere」はデフォルトで暗号化接続させることができるサービスが固定されていますが、「Force-TLS」や以前記事にしたGreasemonkeyスクリプト「Secure connections on sites」ならサービス自体にhttps接続オプションが用意されていれば手動で対象URLを記述することも可能です。

今回公表されたFiresheepは、あくまで現在のウェブサービスの安全性に対して疑問を投げかけるためにセキュリティカンファレンスで発表されたものとなっています。

悪用されるのではないかという意見も当然出てくるとは思いますが、ユーザーのほうもこのような行為が可能だということを認識しながらネットワークを利用したいですね。


Firesheep


参考記事:Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れるFirfoxアドオンFiresheep

参考記事:FiresheepからWiFiでログイン情報を守る方法


<関連記事>


■指定サイトを自動的に[https]で接続させることができるGreasemonkeyスクリプト「Secure connections on sites」

■Firefox 3でhttpsサイトを読み込んだ際のロケーションバーに色を付ける方法。

■偽サイトやセキュアでないサイトをFirefoxのサイドバーで警告する「Personal Anti-Phishing Sidebar」

■Firefoxで入力するログインデータを暗号化してキーロガー対策を行う「KeyScrambler Personal」



この記事をはてなブックマークに登録 follow us in feedly このエントリを del.icio.us に登録 この記事をクリップ!Yahoo!ブックマークに登録
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック