どうもハンサムクロジです。
以前「Heartbleed」というOpenSSLに脆弱性が見つかったという記事をご紹介しましたが、またまたインターネット上で利用されているシステムに重大な脆弱性が見つかりました。
脆弱性が見つかったのは「OAuth 2.0」と「OpenID」という2つのセキュリティプロトコル。これらを利用しているFacebookやGoogleのユーザーが危険に晒される可能性があるのだそうです。
いったいどのようなリスクがあるのでしょうか?
OAuth、OpenIDとは
OAuthはTwitterやFacebookのアプリ認証などで我々がよく利用しているもの。「連携アプリの認証」、「サービスへの接続リクエスト」というような形で目にしている人も多いと思います。
OpenIDもとても身近なもので、「Twitterアカウントでログイン」とか「Facebookアカウントでログイン」などといった他のIDを使ってサービスを安全に利用するために用いられるプロトコルとなっています。
今回脆弱性が見つかったのは、次世代のOAuth認証である「OAuth 2.0」と「OpenID」となります。
脆弱性の名前は「Covert Redirect」
CNET Japanによると、今回見つかった脆弱性「Covert Redirect」は、シンガポールにある南洋理工大学の学生Wang Jing氏が発見したものだとのことでした。
例えば、用意された悪意のあるリンクをクリックしてしまった場合、対象サイト内で”本物のアドレス”を使ってアプリを許可するよう求められ、許可すると悪意ある第三者に個人情報が送信されてしまうことがあるそうです。
この脆弱性は特定のサイトによる「OAuth 2.0」と「OpenID」の実装上の不備によるもので、そこにはFacebookやGoogle、PayPalなどが含まれているとのこと。
ユーザー側としては、これらのサイトが安全に使えるようになるまで、それらにログインした状態で不用意に信頼性の低いリンクを開かないようにするというくらいしか対策のしようが無さそうです。
また、国内向けのサービスでも今後同様の”実装上の不備”が見つかる可能性があります。問題のあるサイトのリストに名前が無いからといって安心しない方が良さそうです……。
-
NTTのスマホ用公衆電話検索サイトが意外と便利! 災害時はもちろん通話代節約にも使えそう
日本国民のほとんどがiPhoneなどの携帯電話を使っているなか、その数を減らしながらもまだまだ存在し続けているのが昔ながらの公衆電話。その公衆電話のある場所を検索できるサイトをNTT東日本・NTT西日本が提供していたのでご紹介します! -
【ブクマ必須】様々なサービスのパスワード変更ページをまとめたサイトでセキュリティ対策しよう
色々なサイトのパスワード変更ページを開くのが面倒な方必見!直接パスワード変更ページにアクセスできるサイトをご紹介します -
あなたのメール、見られてますよ! GoogleがGmailの中身を自動的に分析していることを明文化
Gmailを運営しているGoogleがメールの中身を覗き見ていることを明らかにしました。以前からそんな話はちらほらとありましたけど、ついに明文化されたようです!!