“全ユーザが使用すべき”……他人の情報を見る「Firesheep」を無効化する「HTTPS-Everywhere」
エンタープライズ
セキュリティ
注目記事
-
【デスクツアー】真似したい自宅デスク環境一挙公開!
-
今もっとも危険な国別ドメインは「ベトナム(.vn)」だった……マカフィー、ワースト世界分布を発表
-
マカフィー、仮想化環境に特化したセキュリティプラットフォーム「McAfee MOVE」提供開始
/
「Firesheep」は、暗号化の不十分なWi-Fi上でTwitterやFacebookなどのアカウントが簡単に乗っ取られ得ることを実証するため、セキュリティ研究者のエリック・バトラー氏が公開したものだ。このプラグイン(機能拡張)は、サイトとユーザがやりとりする際に利用される「クッキー」を盗み見ることができるもので、WebサイトがHTTPSやSSLで暗号化されたログインを強制していない場合、ユーザーのアカウント情報が収集・再現される危険性があるという。これはけっして新しい脅威ではないが、複数の人気のあるWebサイトが今もなお、暗号化を使用していないため、このプラグインが注目を集めることとなった。
Firesheepプラグインをローカルマシンにインストールすると、(ログインにSSL暗号化を使用していないWebサイトにアクセスする)ユーザーのログイン情報(クッキー)を収集できる。あとはクリック操作だけで、そのユーザーとしてログインでき、なりすまし犯罪も非常に簡単に実行可能となっている。このプラグインを共有マシン/公共マシンにインストールされたら、その影響は計り知れないものとなる。問題はFiresheepにあるのではなく、そのような状態を放置しているWebサイト側にあるため、今後も同種の問題は発生する可能性が高い。
そこでマカフィーでは、「この問題を解決するためには、ユーザーが自らコントロールして、Firesheepを無効化する必要がある」として、Electronic Freedom Foundation(EFF)が公開しているプラグイン「HTTPS-Everywhere」を紹介した。「HTTPS-Everywhereは、すべてのユーザーがぜひインストールして使用すべきFirefoxの拡張機能だ」とし、FiresheepとHTTPS-Everywhereの両方をダウンロードし、これらを自分のマシンで賢く利用して、自分や同僚の知識を深めることを推奨している。
「HTTPS-Everywhere」は多くのサイトへのすべてのリクエストをHTTPSに書き換えるものだ。「HTTPS-Everywhere」では、さまざまなWebサイトとの通信が暗号化されるため、Firesheepも無効化される。設定は非常に容易で、自分のWebサイトへの追加、またカスタマイズも簡単となっている。HTTPS-Everywhereをインストールして実行すると、この種の個人情報への攻撃から身を守れるだけでなく、これらのWebサイトへの他のセッションも暗号化されるとのこと。
《冨岡晶》
特集
この記事の写真
/
