セキュリティ企業が、同じネットワーク上で誰かが Firesheep を使用しているときに警告する無料の Firefox アドオンを開発した。Firesheep は、インターネット セキュリティの以前から知られている弱点に対する攻撃を簡素化するツールとして懸念を引き起こしている。
先月サンディエゴで開催されたセキュリティカンファレンスToorConでエリック・バトラー氏によって発表されたFiresheepは、WebブラウザのCookieに保存されるセッション情報を収集します。ユーザーがFacebookなどのWebサービスにログインしている間、ユーザーのコンピュータと暗号化されていないWi-Fiルーター間でセッション情報が送受信されると、簡単に収集されてしまいます。
ほとんどの Web サイトでは、Web サイトにログインするときに送信されるトラフィックを暗号化します (これはブラウザー上の南京錠で示されます)。しかし、そのほとんどは、セッションの残りの間は暗号化されていない情報を渡す状態に戻ります。これは、特に公共のオープン Wi-Fi ネットワークのユーザーに対して、セキュリティアナリストが長年警告してきた脆弱性です。
Firesheepは暗号化されていないトラフィックを識別し、侵入者がわずか数クリックでセッションを「ハイジャック」、つまり被害者としてウェブサイトにログインすることを可能にします。このような攻撃スタイルは以前から可能でしたが、Firesheepはシンプルな設計のため、それほど高度な技術を持たないユーザーにも強力なハッキングツールを提供してきました。
しかし、Zscaler の The Blacksheep アドオンは、同じネットワーク上で誰かが Firesheep を使用していることを検出し、たとえばオープン Wi-Fi ネットワーク上での行動について、ユーザーがより情報に基づいたセキュリティ上の判断を下せるようにします。
Firesheepは、ウェブサイトへのセッション認証情報を傍受すると、同じCookie値を使ってそのサイトにリクエストを送信します。Blacksheepは、Firesheepが監視するサイトに対し、5分ごとに偽のCookie値を使ってHTTPリクエストを送信することで、この脆弱性を悪用します。Zscalerによると、BlacksheepはFiresheepが同じ偽のCookie値を使ってそのサイトにリクエストを送信していることを検知すると、警告を発することができるとのことです。
セキュリティアナリストはウェブサイトに対し、すべてのトラフィックを暗号化することを推奨してきましたが、暗号化を維持するために必要な追加の処理能力を理由に、多くのサイトは暗号化に消極的でした。しかしながら、進展もありました。1月には、GoogleがGmailサービスの全ユーザーを対象にHTTPS暗号化を導入しました。これまではオプションでしか利用できませんでした。
Firesheepに対する他の防御策としては、オープンなWi-Fiネットワークを使用しないという方法があります。それができない場合は、電子フロンティア財団が開発した「HTTPS Everywhere」というFirefoxアドオンを利用できます。このアドオンを使用すると、HTTPSに対応しているウェブサイトとの間で自動的に暗号化セッションが開始されます。VPN接続も攻撃を阻止できます。
