|
Firesheep, a Firefox extension designed to demonstrate just how serious this problem is. |
HTTPセッションハイジャックを簡単に実施できるFirefoxエクステンションFiresheepが登場してから10日ほどが経過しようとしている。この短時間の間に多くのできごとが起こった。HTTPセッションハイジャックの脆弱性を放置していると指摘されたWebサービスはその対応を約束し、すでにいくつかのサービスはHTTPSのみでのサービス提供を開始するなどの対応を取り出している。
Firesheepの開発者はFiresheep, a week later: Idiot Shepherds - codebutlerにおいてFiresheepに触発されて開発された新しい2つのツールを紹介した。紹介されたツールは次のとおり。
1. Idiocy
HTTPセッションハイジャックを実施してTwitterアカウントを取得し、そのユーザになりすまして自動的に警告文章をつぶやくツール。130行未満のPyhtonスクリプトとして開発されている。とても簡単に傍受を実施できる現状にあることを示す好例だと説明している。Twitterにつぶやくため、つぶやかれた本人も、それをフォローしているユーザもその事実に気がつくという点で波及効果が強い。ただし今のところIdiocyを使ってハイジャックが実施されたユーザの数は少数にとどまる。検索してどの程度のユーザが影響を受けているのかが把握できるという特徴もある。
2. FireShepherd
ランダムデータを送信することでFiresheepなどが実施するHTTPセッションハイジャックを困難にするツール。しかし、ランダムデータを送信するだけなのでHTTPセッションハイジャックを実施しようとしている攻撃者を煩わせることはできても、防ぐことはできない。しかもランダムデータを送信するため同じオープンワイヤレスネットワークの通信速度を低下させたり、特定サイトに対する分散DoS攻撃にも該当する可能性があるなど、使用すべきではないと意見がそえてある。
