“全ユーザが使用すべき”……他人の情報を見る「Firesheep」を無効化する「HTTPS-Everywhere」 | RBB TODAY

“全ユーザが使用すべき”……他人の情報を見る「Firesheep」を無効化する「HTTPS-Everywhere」

 マカフィーは、他人のログイン情報を見ることができるFirefoxプラグイン「Firesheep」、およびそれを無効化できるプラグイン「HTTPS-Everywhere」を紹介する文章を公開した。

エンタープライズ セキュリティ
「HTTPS-Everywhere」の設定は非常にかんたん
  • 「HTTPS-Everywhere」の設定は非常にかんたん
  • Firesheepの画面(ターゲットにしているWebサイトが表示されている)
  • Firesheepの画面(左側に出ているユーザ情報をクリックするだけでなりすまし可能)
  • Firesheepの画面(左側に出るはずのユーザ情報が、HTTPS-Everywhereにより無効化された)
  • 「HTTPS-Everywhere」
 マカフィーは、他人のログイン情報を見ることができるFirefoxプラグイン「Firesheep」、およびそれを無効化できるプラグイン「HTTPS-Everywhere」を紹介する文章を公開した。

 「Firesheep」は、暗号化の不十分なWi-Fi上でTwitterやFacebookなどのアカウントが簡単に乗っ取られ得ることを実証するため、セキュリティ研究者のエリック・バトラー氏が公開したものだ。このプラグイン(機能拡張)は、サイトとユーザがやりとりする際に利用される「クッキー」を盗み見ることができるもので、WebサイトがHTTPSやSSLで暗号化されたログインを強制していない場合、ユーザーのアカウント情報が収集・再現される危険性があるという。これはけっして新しい脅威ではないが、複数の人気のあるWebサイトが今もなお、暗号化を使用していないため、このプラグインが注目を集めることとなった。

 Firesheepプラグインをローカルマシンにインストールすると、(ログインにSSL暗号化を使用していないWebサイトにアクセスする)ユーザーのログイン情報(クッキー)を収集できる。あとはクリック操作だけで、そのユーザーとしてログインでき、なりすまし犯罪も非常に簡単に実行可能となっている。このプラグインを共有マシン/公共マシンにインストールされたら、その影響は計り知れないものとなる。問題はFiresheepにあるのではなく、そのような状態を放置しているWebサイト側にあるため、今後も同種の問題は発生する可能性が高い。

 そこでマカフィーでは、「この問題を解決するためには、ユーザーが自らコントロールして、Firesheepを無効化する必要がある」として、Electronic Freedom Foundation(EFF)が公開しているプラグイン「HTTPS-Everywhere」を紹介した。「HTTPS-Everywhereは、すべてのユーザーがぜひインストールして使用すべきFirefoxの拡張機能だ」とし、FiresheepとHTTPS-Everywhereの両方をダウンロードし、これらを自分のマシンで賢く利用して、自分や同僚の知識を深めることを推奨している。

 「HTTPS-Everywhere」は多くのサイトへのすべてのリクエストをHTTPSに書き換えるものだ。「HTTPS-Everywhere」では、さまざまなWebサイトとの通信が暗号化されるため、Firesheepも無効化される。設定は非常に容易で、自分のWebサイトへの追加、またカスタマイズも簡単となっている。HTTPS-Everywhereをインストールして実行すると、この種の個人情報への攻撃から身を守れるだけでなく、これらのWebサイトへの他のセッションも暗号化されるとのこと。
《冨岡晶》

関連ニュース

特集

page top