Eric Butler氏が公開したFirefoxエクステンションFiresheepが大きな話題になっている。FiresheepはオープンワイヤレスネットワークにおいてHTTPセッションハイジャックを実施するためのデモンストレーションエクステンション。このエクステンションを使うとほかのユーザのクッキーを取得して他人になりすましたログインが可能になる。Firesheep 0.1においてHTTPセッションハイジャックが実施できるサイトは次のとおり。今後のバージョンアップで対応するサイトが増える可能性もある。
- Amazon.com
- Basecamp
- bit.ly
- Cisco
- CNET
- Dropbox
- Enom
- Evernote
- Flickr
- Foursquare
- GitHub
- Gowalla
- Hacker News
- Harvest
- Windows Live
- New York Times
- Pivotal Tracker
- ToorCon: San Diego
- Slicehost SliceManager
- tumblr.com
- Wordpress
- Yahoo
- Yelp
ログイン時にHTTPS通信をしていても、ログイン後にはHTTP通信に切り替えるタイプのWebサービスやWebアプリケーションも多い。こうしたサービスではクッキーを盗んで他人になりすます「HTTPセッションハイジャック」と呼ばれる攻撃を実施できる可能性がある。パスワードを必要としないオープンワイヤレスネットワークを利用している場合、この攻撃を受ける可能性が高まる。
Firesheepを公開した理由として、HTTPセッションハイジャックが重大な問題であるにもかかわらず、有名サイトがその攻撃を可能なままにしていることに対する警鐘の意味があるという。しかし、簡単にインストールすることができ、さらに利用するのも簡単なFiresheepはハイジャック用のツールとしても利用でき、憂慮すべき状況になったともいえる。ユーザが実施できる当面の回避策には次のようなものがある。
- オープンワイヤレスネットワークには接続しない。
- 信用できないワイヤレスネットワークからは接続しない。
- 使用しているWebサービスやWebアプリケーションがHTTPS通信を提供しているのであれば、可能なかぎりそれを有効にする(ただしログイン時だけの場合、オープンワイヤレスネットワークから接続している場合には危険)
- 強制的にHTTPS通信へ切り替えるエクステンションがいくらか提供されているため、そうしたサービスを活用する。
これは無線LANに接続できるノートPCのみならずiPhoneやiPod touch、iPad、そのほかのデバイスにおいてもクッキーが利用できHTTPセッションハイジャックが可能なすべてのデバイスに影響することになる。不用意にオープンワイヤレスネットワークに接続した場合、第三者に個人情報の閲覧を許す可能性があるため、注意が必要。