2010年10月に米国のセキュリティ研究者が公開したFirefox向けのアドオンが問題になっている。そのアドオンをFirefoxに組み込んで無線LANにアクセスすると、同じ無線LANからTwitterやFacebookなどのWebサービスにアクセスしている別のユーザーのアカウントを乗っ取ることができるからだ(図1)。 作者は、アドオン公開の理由を「大手のWebサイトは長い間ユーザーを守る責任を無視してきた。アドオンの公開が状況を変える一助になれば」としている。だが、作者の真意にかかわらず、このアドオンが悪用される可能性は高い。

●同じネットワーク上のユーザーになりすませる
図1 アドオンで無線LANの通信をスキャン。特定のWebサービスに接続しているユーザーが同じ無線LAN上にいると、そのユーザーになりすませる
[画像のクリックで拡大表示]

詳しい知識は不要

 実は、このアドオンに使われている技術自体は目新しいものではない。暗号化されていない通信内容をのぞき見ることができるソフトはこれまでにもあった。ただし、そこから必要なデータを取り出すにはネットワークに関する詳しい知識が必要など、ハードルは高かった。

 今回のアドオン公開が問題なのは、「Firefoxという著名なWebブラウザーの機能になったということ」とラックのサイバーリスク総合研究所コンピュータセキュリティ研究所の岩井博樹所長は話す。ネットワークに関する詳しい知識がなくても、これまでよりも容易に他のユーザーになりすませてしまうからだ。

 このアドオンでアカウントを乗っ取る手順は、まず、パソコンを無線LANに接続し、Firefoxを起動。アドオンで無線LANの通信をスキャンする。同じ無線LAN上で特定のWebサービスにログインしているユーザーがいると、アドオンはそのユーザーと無線LANルーターの通信から、ユーザー固有のデータを取得。このデータに含まれているユーザー名やアイコンなどを画面上に表示する(図2)。画面のユーザー名をクリックすれば、パスワードを入力しなくてもそのユーザーになりすまして内容を閲覧したり、変更したりできる。

●スキャンしたユーザーをアイコンで表示
図2 ネットワークをスキャンした画面。左に同じネットワークから特定のWebサイトにアクセスしているユーザーのIDとアイコンが表示される。アイコンをクリックすると、そのユーザーのページを表示。なりすまして書き込みもできる
[画像のクリックで拡大表示]

この先は会員の登録が必要です。有料会員(月額プラン)は登録月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら