無知は幸福です。Facebook と Twitter のセキュリティについてパニックになりたくない場合は、これ以上読まないでください。
自称セキュリティシンクタンクであるデジタル・ソサエティは、TwitterとFacebookの両サイトに対し、セキュリティ評価で不合格と判定しました。両サイトは、アカウントの一部または全部を他人に制御される可能性のある攻撃に対して脆弱である、と同団体は主張しています。
Digital Societyによると、FacebookとTwitterの主な問題は、どちらのサイトも完全なSecure Sockets Layer(SSL)保護を提供していないことです。どちらのサイトも、デフォルトでユーザーに対して暗号化されていないセッションを作成します。ログイン自体は暗号化されていますが、認証されていないため、ブラウザでセキュリティ情報を表示してサイトのIDを確認することができません。
安全なセッションを強制したとしても(https://twitter.com または https://facebook.com を使用)、サイトには依然として安全でない部分へのリンクと、SSL なしで認証クッキーを送信する JavaScript コードが残っていることが Digital Society の調査で判明しました。
これらは新しい懸念事項ではありませんが、このニュースはFireSheepのリリースと密接に関連しています。FireSheepは、技術的な知識が限られている人でも、暗号化されていないWi-Fiネットワーク経由で他人のウェブアカウントを乗っ取ることができるFirefoxアドオンです。Digital Societyの報告書は、FireSheepなどのパケットスニッフィングプログラムを使用する攻撃者が何を達成できるかを本質的に説明しています。例えばFacebookでは、攻撃者はユーザー名とパスワードを除くアカウントのあらゆる情報にアクセスでき、ステータスアップデートを送信したり、プライベートメッセージを読んだりすることが可能です。
Digital Society が調査した 11 のウェブサイトのうち、Gmail のみが「A」評価を受けました。WordPress は SSL なしでアクセスした場合、Gmail 以外で唯一「F」評価を受けましたが、Hotmail と Flickr は「D-」評価を受けました。
MicrosoftはHotmailの脆弱性を修正することを約束しており、Facebookもセキュリティ強化を進めていると発表しています。それでも、カフェのWi-Fiを使う予定なら、心配なサイトは数多くあります。より高度なセキュリティ対策として、ComputerworldのSharon Machlis氏のアドバイスを参考に、FireSheepを使って自分のアカウントが簡単に悪用されるようなことがないようにしましょう。FireSheepを阻止するために特別に設計されたプログラム、FireShephardも試してみてください。それでもダメなら、耳を塞いで大声で歌い、うまくいくことを祈りましょう!
