この記事を読んでみて、ある意味「通信の怖さ」を感じました。自分の ID やパスワードが盗まれたりしたらと考えたら恐いです。私は、自衛策として有線LAN しか使わないようにしています。場合によっては、有線LAN でも危ない場合もあります。家庭で使っている分には、まず、大丈夫だとは思いますが。今回の記事で Cookie が如何に大事で、また、危険にさらされる場合(他人になりすまし)もある、ということを学びました。一度、全て読んでみることをお勧めします。ちなみに、アマゾンは最近頻繁に利用していますが、セキュリティは、どちらかというと甘いように感じます。
【事例で学ぶ ネットの落とし穴】 FacebookやTwitterのIDがWi-Fi経由で筒抜け、Firefox用アドオンの恐怖 -INTERNET Watch
今回取り上げるのは、ウェブブラウザー「Firefox」用のアドオン「Firesheep」です。このアドオンは、以前お話しした「野良AP」を含めたオープンなWi-Fiネットワークを利用して、ウェブサービスなどにログインするユーザーのCookieを記録する機能があります。
パソコンがオープンWi-Fiネットワークに接続した状態でFiresheepが起動すると、接続しているローカルネットワーク内をスキャンし、Amazon.com、Dropbox、Evernote、Facebook、Flickr、Google、WindowsLive、Twitterなどといった、一般的によく使われているサービスにログインしている他のユーザーを発見し、リストアップしていきます。そしてそれぞれのユーザーのアイコンを表示し、そのユーザーへのなりすまし行為を極めて簡単に行えるようにする、という深刻な機能を持ったアドオンです。
Firesheepには、Amazon.com、Dropbox、Evernote、Facebook、Flickr、Google、WindowsLive、Twitterなどなどといった、一般的によく使われているサービス(サイト)が登録されているのですが、皆さんがこうしたサービスを利用する際、ユーザーは「ログイン」という手続きを踏みますよね。この「ログイン」がもし、以前にお話ししたようにSSL通信(URLが「https://」で始まる暗号化された通信方式)ではなく通常のHTTP通信で行われると、そのログインIDやパスワードの文字がそのまま通信に含まれている=丸見え状態で送信されるわけですね。
直接ケーブルがつながっている有線LANなら安心感が強いと感じる人も少なくないようですが、通信経路上にいる第三者というのは、何も通信事業者やプロバイダーなど(の中の人)だけとは限りません。ごく近い場所に限って見ても、(建造物内のネットワークがどうなっているかにもよりますが)たとえば集合住宅で他の部屋の人が通信を盗み見たり、という可能性もあり得ない話ではありません。
HTTP Cookieでは、ユーザーが初めてサービスにログイン(IDとパスワードを入力)した時、サービス側のサーバーはそのユーザーアカウントに対してセッションIDという有効期限付きの通行証のようなものを割り当て、Cookieとしてブラウザーに通知します。ブラウザーはそのCookieを保存し、そのCookieが有効期限内である間は、サーバーに対しIDとパスワードの入力をすっ飛ばしてサービスにログインした状態を確立するので、ユーザーはログイン操作をすることなくサービスを利用できる、という仕組みなのです。もちろんSSL通信でログインした場合は、基本的にはCookieも暗号化されています。
つまり先ほどのID・パスワードと同様に、HTTP通信で行われたこのセッションID(Cookie)をもし悪意ある第三者が知ることができれば、IDやパスワードを知らなくても本来のユーザーになりすましてサービスを利用することが可能になります。これが「セッションハイジャック」と呼ばれる攻撃です。
さて、本題のFiresheepですが、先に述べたようにこれはFirefoxのアドオンです。接続しているネットワーク上から、アドオン内に登録されているウェブサービスの、先ほど述べたようなログイン情報を見つけて、記録する――これがFiresheepの機能です。
つまり、パソコンをオープンなWi-Fiネットワークに接続した状態で起動すると、同じネットワークに接続している他のユーザーが前述のサービスに接続している様子をモニタリングすることができるのです。
トラックバックURL:
https://serene.sakura.ne.jp/blog/2010/12/23/1506/629.php/trackback