この記事を読んでみて、ある意味「通信の怖さ」を感じました。自分の ID やパスワードが盗まれたりしたらと考えたら恐いです。私は、自衛策として有線LAN しか使わないようにしています。場合によっては、有線LAN でも危ない場合もあります。家庭で使っている分には、まず、大丈夫だとは思いますが。今回の記事で Cookie が如何に大事で、また、危険にさらされる場合（他人になりすまし）もある、ということを学びました。一度、全て読んでみることをお勧めします。ちなみに、アマゾンは最近頻繁に利用していますが、セキュリティは、どちらかというと甘いように感じます。

【事例で学ぶ　ネットの落とし穴】 FacebookやTwitterのIDがWi-Fi経由で筒抜け、Firefox用アドオンの恐怖 -INTERNET Watch

　今回取り上げるのは、ウェブブラウザー「Firefox」用のアドオン「Firesheep」です。このアドオンは、以前お話しした「野良AP」を含めたオープンなWi-Fiネットワークを利用して、ウェブサービスなどにログインするユーザーのCookieを記録する機能があります。

　パソコンがオープンWi-Fiネットワークに接続した状態でFiresheepが起動すると、接続しているローカルネットワーク内をスキャンし、Amazon.com、Dropbox、Evernote、Facebook、Flickr、Google、WindowsLive、Twitterなどといった、一般的によく使われているサービスにログインしている他のユーザーを発見し、リストアップしていきます。そしてそれぞれのユーザーのアイコンを表示し、そのユーザーへのなりすまし行為を極めて簡単に行えるようにする、という深刻な機能を持ったアドオンです。

　Firesheepには、Amazon.com、Dropbox、Evernote、Facebook、Flickr、Google、WindowsLive、Twitterなどなどといった、一般的によく使われているサービス（サイト）が登録されているのですが、皆さんがこうしたサービスを利用する際、ユーザーは「ログイン」という手続きを踏みますよね。この「ログイン」がもし、以前にお話ししたようにSSL通信（URLが「https://」で始まる暗号化された通信方式）ではなく通常のHTTP通信で行われると、そのログインIDやパスワードの文字がそのまま通信に含まれている＝丸見え状態で送信されるわけですね。

　直接ケーブルがつながっている有線LANなら安心感が強いと感じる人も少なくないようですが、通信経路上にいる第三者というのは、何も通信事業者やプロバイダーなど（の中の人）だけとは限りません。ごく近い場所に限って見ても、（建造物内のネットワークがどうなっているかにもよりますが）たとえば集合住宅で他の部屋の人が通信を盗み見たり、という可能性もあり得ない話ではありません。

　HTTP Cookieでは、ユーザーが初めてサービスにログイン（IDとパスワードを入力）した時、サービス側のサーバーはそのユーザーアカウントに対してセッションIDという有効期限付きの通行証のようなものを割り当て、Cookieとしてブラウザーに通知します。ブラウザーはそのCookieを保存し、そのCookieが有効期限内である間は、サーバーに対しIDとパスワードの入力をすっ飛ばしてサービスにログインした状態を確立するので、ユーザーはログイン操作をすることなくサービスを利用できる、という仕組みなのです。もちろんSSL通信でログインした場合は、基本的にはCookieも暗号化されています。

　つまり先ほどのID・パスワードと同様に、HTTP通信で行われたこのセッションID（Cookie）をもし悪意ある第三者が知ることができれば、IDやパスワードを知らなくても本来のユーザーになりすましてサービスを利用することが可能になります。これが「セッションハイジャック」と呼ばれる攻撃です。

　さて、本題のFiresheepですが、先に述べたようにこれはFirefoxのアドオンです。接続しているネットワーク上から、アドオン内に登録されているウェブサービスの、先ほど述べたようなログイン情報を見つけて、記録する――これがFiresheepの機能です。

　つまり、パソコンをオープンなWi-Fiネットワークに接続した状態で起動すると、同じネットワークに接続している他のユーザーが前述のサービスに接続している様子をモニタリングすることができるのです。