ワンクリックで他人のAmazon、Facebook、Twitter、Windows Liveアカウントをハッキングしたいと思いませんか?Firefox拡張機能「Firesheep」を使えば、オープンなWi-Fi接続を介して他人の現在のユーザーセッションを乗っ取ることができると主張しています。
拡張機能をテストしてみたところ、驚いたことに宣伝どおりに動作しました。ほぼその通りです。
Firesheep はシアトルを拠点とするソフトウェア開発者 Eric Butler 氏によって作成され、同氏はこの拡張機能を、サイドジャッキングとも呼ばれるセッションハイジャックに関連するセキュリティリスクを強調するために作成したと述べています。
Firesheepは26のオンラインサービスを標的としており、Amazon、Facebook、Foursquare、Google、The New York Times、Twitter、Windows Live、WordPress、Yahooなど、多くの人気オンラインサービスが含まれています。この拡張機能はカスタマイズも可能で、ハッカーはFiresheepに掲載されていないウェブサイトを標的にすることも可能です。
Firesheep は恐ろしいように聞こえますが (そして、オープン Wi-Fi の使用に関するセキュリティ上の懸念を改めて浮き彫りにします)、新しい Firefox 拡張機能はそれほど恐ろしいものではありません。
Firesheepの仕組み
Firesheepは基本的にパケットスニファーであり、Wi-Fiルーターとネットワーク上のパソコン間のオープンWi-Fi接続における暗号化されていないWebトラフィックをすべて分析できます。この拡張機能は、Firesheepのデータベースに登録されている26のサイトのいずれかに誰かがログインするのを待ちます。例えばAmazonにログインすると、ブラウザのAmazon固有のCookieがサイトと通信し、ユーザー名やAmazonセッション番号IDなどの個人識別情報が含まれます。
ブラウザがウェブサイトとCookie情報をやり取りする際、第三者がその通信を乗っ取り、ユーザー名やセッションIDなどの情報を取得する可能性があります。通常、Cookieにはパスワードは含まれません。しかし、パスワードがなくても、FiresheepがセッションCookieを盗み取れば、少なくとも理論上はハッカーがあなたのアカウントにアクセスし、事実上無制限のアクセス権限を取得できることになります。ハッカーがYahoo!メールのCookieを入手すればメールを送信でき、Facebookであればメッセージを投稿できる可能性があります。ただし、Amazonでクレジットカード情報にアクセスするなど、パスワードを必要とする操作はFiresheepでは不可能です。
Firesheepのテスト
今日は公共Wi-Fiスポットの近くにいなかったので、Mac OS X版Firefox 3.6を使って自宅のネットワークでFiresheepをテストしてみました。問題は、自宅でWPA2暗号化を使用していることです。WPA2は、PCとルーター間のすべてのユーザートラフィックを暗号化するWi-Fiセキュリティ規格です。そのため、Firesheepをテストする唯一の方法は、自分のマシンでFirefoxとChromeの両方を使ってブラウジングすることでした。
まず、FirefoxにFiresheepをインストールし、「表示」>「サイドバー」>「Firesheep」をクリックして開きました。すると、空白のサイドバーが表示され、上部に「キャプチャを開始」というボタンが表示されました。このボタンをクリックして監視を開始すると、拡張機能は私のマシンにアクセスして変更を加えるために、コンピューターのマスターパスワードを要求しました。言うまでもなく、これは自分のコンピューターで試すことはお勧めしません。
サイドバーが動作するようになると、Amazon、Facebook、Google、The New York Timesなど、私がログインしたサイトのユーザーIDを約束通り取得し始めました。Firesheepは私のユーザー名とプロフィール写真(利用可能な場合)を取得し、各アカウントをサイドバーに表示できました。
理論上、カフェの暗号化されていないWi-Fiネットワークでこのシステムをテストしていたら、Firesheepサイドバーに表示されたアカウントをクリックするだけで、ほぼ無制限にアクセスできたはずです。しかし、私のテストではそうはなりませんでした。
ファイアシープが囲い込まれる
スニッフィングが完了すると、サイドバーにリストされた各ユーザーIDをクリックして、自分のオンラインアカウントを確認できるようになるはずでした。Firefoxでログインしたアカウントでは、ブラウザに実際のセッションIDとFiresheepに保存されていた盗まれたCookieが含まれていたため、当然ながらこれが可能でした。しかし、ChromeでログインしたNew York Timesのアカウントにアクセスしようとしたところ、FiresheepではFirefoxでアカウントにアクセスできませんでした。ユーザー名とプロフィール写真がFiresheepに表示されていたにもかかわらず、このような状況でした。
また、テストしたオンライン サービスからログアウトすると、Firesheep が盗んだ Cookie を使用して再度ログインすることができなくなることにも注意してください。
先ほども述べたように、Firesheep を 1 台のマシンで使用していたため、私のテストは完璧ではありませんでした。自宅のネットワークは既に非常に安全です。そのため、カフェやバーのオープンで暗号化されていない Wi-Fi ネットワーク経由で、何も知らないユーザーに対して Firesheep をテストしていたら、結果は違っていたかもしれません。
Firesheepサイドジャッキングの制限
Firesheepが、悪意のあるハッカーにアカウントを危険にさらす可能性のある、Webブラウジングにおける重要なセキュリティ上の欠陥を浮き彫りにしていることは間違いありません。しかし、サイドジャッキングにも限界があることも念頭に置く必要があります。Firesheepを使用しても、ユーザーのパスワードが漏洩する可能性は低いでしょう。そのため、ハッカーがFiresheepを利用して、メールの送信、ステータスの更新、ツイートの送信など、ユーザーに代わって操作を実行できる可能性はあります。しかし、Firesheepを使ってパスワードをすり替えることでアカウントを盗まれる可能性は低いでしょう。もちろん、現在のパスワードを入力せずにパスワードを変更できるサービスを利用している場合は別ですが(最近では稀です)。
それでも、Firesheepやサイドジャッキング全般は、オープンなWi-Fiや保護されていないWi-Fiを使用している場合、依然として深刻なセキュリティ脅威となります。ここでは、公共Wi-Fiを利用する際に身を守るための基本的な対策をいくつかご紹介します。
VPNを使用する
HotSpot Shieldの無料版などの仮想プライベートネットワーククライアントをお試しください。このソフトウェアは基本的に、Wi-Fiルーターとコンピューターの間に安全なデータトンネルを構築します。すべての通信が暗号化されるため、Firesheepはコンピューターとルーター間のデータを盗むことはできません。
HTTPS はどこでも
Firefoxユーザーであれば、電子フロンティア財団(EFF)が開発したHTTPS Everywhereなどの拡張機能も利用できます。この拡張機能は、特定のウェブサイトにおいて、ログイン時だけでなく、ブラウジングセッション全体を通して安全なSSL接続を使用するよう強制します。HTTPS Everywhereの問題点は、完全なSSL暗号化ブラウジングに対応している限られた数のサイトでしか動作しないことです。多くの場合、サイトはログイン時にSSL暗号化を使用しますが、ログイン後は暗号化されていないHTTP標準に戻ってしまうことがあります。詳しくは、EFFのHTTPS Everywhereページをご覧ください。
厳格なトランスポートセキュリティ(STS)を使用する
Strict Transport Security(STS)は、一部のブラウザで導入が始まっている比較的新しいセキュリティ機能です。STSは、SSL暗号化をサポートするすべてのWebページに対して、ブラウザが安全な接続を確立するように自動的に強制します。STSを使用すると、FacebookやAmazonなどの特定のサイトに接続する際に、安全でない接続を使用することがなくなります。ChromeはChrome 4からSTSをサポートしており、Firefox 4にも今後数か月以内に正式版がリリースされる際にSTSが含まれる予定です。ただし、STSはまだ比較的新しいため、すべてのブラウザで利用できるわけではないことにご注意ください。
最後に、自宅のルーターにパスワードが設定されていない場合は、必ず設定してください。ルーターがWPA2に対応している場合は、より広く使用されているものの安全性の低いWEPではなく、WPA2のセキュリティ規格を使用してください。
Firesheepは、暗号化されていないオープンWi-Fi経由で他人の情報を盗み見ることをこれまで以上に容易にする可能性がありますが、サイドジャッキングは少なくとも2007年から存在する古い手口であることを覚えておいてください。安全を確保するには、オープンWi-Fi接続を使用する際は、VPNまたはHTTPS(SSL)を使用した安全な接続を使用するようにしてください。自宅では、ルーターが対応している場合はWPA2規格を使用するか、少なくともWEPパスワードでルーターを保護してください。また、銀行口座やクレジットカード口座へのアクセスなど、機密性の高いオンラインアクティビティには、オープンWi-Fi接続を絶対に使用しないでください。
Twitter でIan ( @ianpaul ) とつながりましょう。
