【レポート】

誰でも熟練ハッカーと成りえてしまうFirefoxアドオン「Firesheep」など -エフセキュアブログ

インターネットは広く情報を得ることができる非常に魅力的な世界であるが、危険と思われるツールも簡単に広まってしまう。イデオロギーとは、政治や道徳、哲学などにおける歴史的、社会的立場に制約された考え方や観念形態を指すが、インターネットセキュリティといった側面でも、それを垣間見ることができるのではないだろうか? そう考えさせられる事象が、エフセキュアブログで報告されている。

エフセキュアブログで公開されている情報から、"これは!"と唸るようなトピックを中心に紹介している特別企画も併せてチェック!

熟練ハッカーと成りえてしまうFirefoxのアドオン「Firesheep」

こちらが物議を醸しているfirefoxのアドオン「Firesheep」を配布しているWebサイト

エフセキュアのミッコ・ヒッポネンが報告した「「Firesheep」:複雑だったことを容易にするツール」には、驚かされた読者も多いことだろう。ローカルWiFiネットワークをスキャンして、Facebook、Twitter、Google、Amazon、Dropbox、Evernote、Wordpress、Flickr、bit.lyといった、数多あるWebサービスにログインしているユーザーを洗い出し、そのユーザーに成りすますことをいとも容易く可能にしてしまうFifefoxのアドオンが配布されているという。ミッコは「これはかなり深刻な問題だ。実行するのが難しかった何かが、突然、取るに足りないほど簡単に実行できるようになるのだ」と表現し、このツールが悪用される可能性を示唆している。

この"使い方を一歩間違えば危険極まりないツール"を提供した作者たちは、無線LAN環境がもたらすリスクはもちろん、インターネットアクセスの仕組みが抱えている問題を提起するために「Firesheep」を配布したとしているが、広く一般にこのツールを公開する必要性を感じないのは筆者だけだろうか。確かに悪意ある者たちの手口は巧妙化し、一般ユーザーは彼らが言うようにその手口に対して無知かもしれない。しかし、だからといって問題提起したことがきっかけで更なる問題を呼んだら? それこそ、本末転倒というものだと思うのだが……。

セキュリティへの関心が高い読者の皆さまに、今更言う必要はないと理解しているが、くれぐれも安易な思いで「Firesheep」を使わないでほしい。後日談ではあるが、「Firesheep」に対抗した「BlackSheep」なるものが米zscalerから提供されている。双方を同時にインストールすることはできないが、「Firesheep」からの脅威を未然に防ぐのだから問題はないだろう。

「Firesheep」からの防御策として開発された「BlackSheep」は、根幹となる技術は「Firesheep」のものを活用しているという。リバースエンジニアリングの一種の手法で対抗策を打ち出すのは、ウイルスとワクチンの関係性によく似ている

一転、こんな提案なら大歓迎!? バグ発見で報酬をゲット

一転。続いてピックアップしたのは、エフセキュアはクアラルンプールからの報告「バグにもっとお金を」より、ひょっとしたら一攫千金も夢じゃない? というトピックを。

脆弱性を発見した人間に対して報酬を支払うプログラムを開始したと伝えるGoogle Online Security Blog

報告によれば、Google Online Security Blogにて新たな脆弱性を発見した人間に対して報酬を支払うプログラムをスタートさせたという。報酬は基本的なバグに関しては500米ドルだが、クリティカルなものについては増額され、最高で約3,000米ドルまで支払われるという。現時点ではGoogleが提供するWebベースのサービスに対してのプログラムだが、今後拡張の余地もあるという。つまり、先日日本でも多数の製品が発表されたAndroid関連へも報酬プログラムが拡張されるかもしれない、ということ。このような、誰もがハッピーになるであろう提案ならいつでもウェルカム! だ。

セキュリティ技術を競う競技会、皆さんご存知ですか?

エフセキュアブログメンバーの福森氏によるポスト「AVに参加してみませんか?」は、先日開催された「AVTOKYO meets HackerJapan」というイベントを紹介したものだが、そこでも述べられているようにセキュリティ技術を競い合う競技会が存在していることについて、読者の多くは深く知らないのではないだろうか。

筆者自身もその存在は知っていたけれどその詳細までは知らなかった「DEFCON CTF」。ちなみに、フォーチューンクッキーの元祖は日本人発だってご存じでしたか?

ポストでも紹介されている「DEF CON」は、世界各国の技術者が参加して与えられたプログラムの脆弱性をいち早く見つけ出し、攻撃あるいは防御をチーム間で繰り広げるという競技が行われる。福森氏も、「日本でもセキュリティ企業や学生を中心に年々参加者も増え、世界の技術者と切磋琢磨し向上していく場のひとつとなっています」としており、是非とも数多くの人々に注目してもらいたいところ。今後の日本IT業界の安全をより高いレベルに保つためにも、若い読者の皆さんで興味のある方は「AVTOKYO meets HackerJapan」や「DEF CON」についてチェックしてみては如何だろうか?

「Hacker」といったフレーズに身構える人もいるかも知れませんが、ここで語られている内容はセキュリティを深く知る勉強になる情報が満載なのです

今回紹介してきたトピックは、それぞれひとつの事象であっても、身を置く立ち位置により見方が正反対になる可能性を有している。

人気記事

一覧

新着記事