3月18日付けの米Information Weekの記事によれば、Googleが同社の製品やサービスと連携するソフトウェアの開発者に対して、SSLによる暗号通信の採用を義務づけると発表したということです。実は、昨年秋、IEに次ぐシェアを持つブラウザ、Firefox向けに、簡単に他人のセッションを乗っ取り、プライバシー情報を窃取したり、なりすまして不正行為(銀行口座からの不正送金)ができることを示すアドインソフト、FireSheepが発表されています。この機能を使うことで、Amazon.com、Evernote、Facebook、Flickr、Google、New York Times、Twitter、Yahoo!、Windows Live(Microsoft)など名だたる有名(であるにもかかわらず、SSL通信への対応が不十分な)サイトで、セッションを乗っ取ることができてしまうのだそうです。このアドインソフトの開発者の意図は、由々しき現状に対する警鐘を鳴らすことだったそうですが、その目的は果たされつつあるといえるのかもしれません。
※関連記事 『HTTPセッションハイジャックを実行できるFiresheep登場』 l
この記事にもある通り、誰でも利用できるオープンな無線LANサービスを利用する場合には、それ相応の準備と覚悟が必要です。また、ログイン手続き中及びログインした後https接続にならないショッピングサイトは利用しないほうがいいでしょう。買い物かごの中身が他人から覗かれたり、カートを乗っ取られて買ってもいない商品の代金を支払うはめに遭うかもしれないからです。どうしても使いたければ、事業者に対して厳重にクレームを送ることも忘れずに。
その一方で、3月24日付けのアットマークITの記事によると、SSL電子証明書を発行するコモドが3月23日、テヘランの攻撃者からの侵入を受け、その結果不正に電子証明書を発行したことをブログで明らかにしたとのこと。同社はその後、これらの証明書を失効させたということですが、この情報が行き渡るまでの間、MicrosoftやGoogle、Yahoo!といった9つのサイトが影響を受ける恐れがあります。この結果、イランのいかがわしいサイトがGoogleのサーバーになりすまし、アクセスしてきたユーザーから機密情報を詐取したり、マルウェアに感染させたりすることが考えられます。
大半の日本人はイラン人の建てた偽サイトの被害に遭うことはないでしょうが、Internet ExplorerやFirefoxのユーザーはそれぞれ開発元であるMicorsoftやMozillaから対策用の更新がリリースされているので、ソフトウェアのアップデートをしておきましょう。
