2008-11-22

GMailのセキュリティ上の問題とドメインの盗難について

BREAKING: New Gmail Security Flaw. More Domains Get Stolen! | MakeUseOf.com

事件のあらましは以下の通りである。makeuseof.comが、何者かによって盗まれた。奴は他にも沢山のドメインを盗んでいるようだ。しばらくして、犯人を自称する者から、ドメインを返して欲しければ二千ドルを払えという脅迫メールが送られてきた。

しかし、なぜドメインが盗まれたのか。どうやら、レジストラに登録しているGMailアドレスがハックされたらしい。そしてドメインの所有権が他のレジストラに移されたようだ。GMailのアカウントには、いくつかのフィルタが仕掛けられていて、メールを転送するようになっていた。しかしパスワードは15文字も使っているし、キーロガーの類も仕掛けられていない。一体どうやって奴はGMailをハックしたのか。

リンク先は途中の経緯などを記していて、非常に冗長なので、結論だけ書いておく。どうもこのハッカーは、パスワードを突破し、自分でGMailにログインしたわけではないらしい。そのドメインの所有者が、GMailのアカウントにログインしたまま、他の悪意のなさそうなページを見た際に、何らかのmultipart/form-data POSTを使って、そのユーザのブラウザ側から、GMailにメールを転送させるフィルタを作らせたらしい。その転送されたメールを読んで、必要な情報を手に入れ、ドメインの所有権の転送を行ったものとみえる。

これを許してしまうGMailにも問題がある。興味深いことに、似たような問題が以前にも発見されていて、修正されている。では今回の騒動は何なのか。まだ似たような問題があるのか。

No comments:

Post a Comment

You can use some HTML elements, such as <b>, <i>, <a>, also, some characters need to be entity referenced such as <, > and & Your comment may need to be confirmed by blog author. Your comment will be published under GFDL 1.3 or later license with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts.