その認証にクッキーが使われていることはよく知られていることですが、このクッキーが盗まれるとどのようなことになるのでしょうか。
そんなウェブサイトへのログインに関する危険性を提唱するために公開されたFirefoxアドオンが大きな話題を呼んでいます。
「Firesheep」と名付けられたこのアドオンは、ワイヤレスネットワーク(WiFi)でログインしてTwitterやFacebookを利用しているユーザーからこのクッキーを盗み出し、その人になりすましてログインできてしまうという恐ろしいアドオンです。
ワイヤレスネットアドオンをインストールするとサイトバーにツールが開くようになっています。
オープンなワイヤレスネットワークに接続した状態で、サイドバー上部にある[Start Capturing]ボタンをクリックすると、TwitterやFacebookなどのサイトへ暗号化無しに接続しているユーザーを発見し、その名前や画像などのアカウント情報がサイドバー表示されるようになります。
このように表示された他人のアカウント情報をダブルクリックするとそのユーザーとしてサービスにログインできてしまうのです。
このようなアカウントのジャックはEvernoteやtumblr、WordPressなど、その他数十のサイトでも可能とのことで、代表的なウェブサービスの多くが危険にさらされているということになります。
最近ではどこでも公共のワイヤレスネットワークに接続してこうしたサービスを利用できるようになっていますが、何も意識せずにサービスを利用していると思わぬ損害を受ける可能性があるということですね。
TechCrunchの記事によるとFirefoxアドオン「Force-TLS」や「HTTPS Everywhere」などを使ってこうしたサービス利用時にはhttps接続で暗号化を行うことにより情報を読み取られずにすむということですので、セキュリティに敏感なユーザーは導入しておいてはいかがでしょうか。
なお、「HTTPS Everywhere」はデフォルトで暗号化接続させることができるサービスが固定されていますが、「Force-TLS」や以前記事にしたGreasemonkeyスクリプト「Secure connections on sites」ならサービス自体にhttps接続オプションが用意されていれば手動で対象URLを記述することも可能です。
今回公表されたFiresheepは、あくまで現在のウェブサービスの安全性に対して疑問を投げかけるためにセキュリティカンファレンスで発表されたものとなっています。
悪用されるのではないかという意見も当然出てくるとは思いますが、ユーザーのほうもこのような行為が可能だということを認識しながらネットワークを利用したいですね。
Firesheep
参考記事:Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れるFirfoxアドオンFiresheep
参考記事:FiresheepからWiFiでログイン情報を守る方法
<関連記事>
■指定サイトを自動的に[https]で接続させることができるGreasemonkeyスクリプト「Secure connections on sites」
■Firefox 3でhttpsサイトを読み込んだ際のロケーションバーに色を付ける方法。
■偽サイトやセキュアでないサイトをFirefoxのサイドバーで警告する「Personal Anti-Phishing Sidebar」
■Firefoxで入力するログインデータを暗号化してキーロガー対策を行う「KeyScrambler Personal」