Cookie機能を使用せずに作られ各社ウェブメールシステムにおけるセキュリティ上の重大な欠陥を発見、警告(電子技術総合研究所) | ScanNetSecurity
2021.01.17(日)

Cookie機能を使用せずに作られ各社ウェブメールシステムにおけるセキュリティ上の重大な欠陥を発見、警告(電子技術総合研究所)

 工業技術院の電子技術総合研究所は、Cookieを使用せずURLに埋め込むIDに頼ったセッション管理方式を採用したウェブメールシステムの脆弱性を公表、運営7社に危険性を通知した。これは同研究のセキュリティ脆弱性研究グループがウェブアプリケーションの安全性について

製品・サービス・業界動向 業界動向
 工業技術院の電子技術総合研究所は、Cookieを使用せずURLに埋め込むIDに頼ったセッション管理方式を採用したウェブメールシステムの脆弱性を公表、運営7社に危険性を通知した。これは同研究のセキュリティ脆弱性研究グループがウェブアプリケーションの安全性について調査してわかったもので、セッション管理(一連のアクセスが同一ユーザからのものであることを追跡する処理)のために、URLの引数部に予測が困難なセッションID(番号)を含ませる技術(URLrewriting技法)を使用した場合、そのURLが解読可能でも、文字列がそのまま第三者に漏洩してしまうことがわかった。この問題を警告されたgooコミュニティ、ZDNetMailなどの各社は、認識し対策を始めているという回答を寄せている。なおユーザー側の対策としては、ウェブメールで受信したメール中にあるリンクを、クリックしない、アクセスする場合は別のブラウザウィンドウを開いて、そこに目的のURLをコピー&ペーストしてアクセスする、ウェブメールのHTMLメール機能をOFFにする、HTMLメールを開かない、といった方法で危険を回避できる。

http://securit.etl.go.jp/SecurIT/advisory/webmail-1/


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×