公開日:2007/09/12 最終更新日:2009/06/26

JVNVU#466433
web サービスにおいて認証情報が暗号化されずに通信される問題

概要

cookie などを用いたユーザ認証を行なう web サービスにおいて、認証情報を暗号化せずに通信するケースが報告されています。

結果として、第三者がユーザに成りすまして web サービスを利用する可能性があります。

影響を受けるシステム

cookie などを使ったユーザ認証を行なっているサイト

詳細情報

cookie などを用いたユーザ認証を行なう web サービスにおいて、認証情報を暗号化せずに通信するケースが報告されています。信頼できない通信路(例: 暗号化が行なわれていない無線LANなどの経路)を使ってこれらのサービスにアクセスした場合、第三者に認証情報を読み取られ、ユーザに成りすましてサービスを利用される可能性があります。

とくに、セッション開始時にのみ認証情報を暗号化して送っていてもその後の通信が暗号化されていなければ、認証情報を読み取られる危険があります。

また、このような盗聴とセッションハイジャックを行なうためのツールが一般に公開されています。

想定される影響

遠隔の第三者が、問題のある web サービスを使っているユーザの通信を盗聴することによって認証情報を得て、当該ユーザに成りすまして web サービスを利用する可能性があります。

対策方法

web サービス利用者がとるべき対策
暗号化されていない無線LANなどのように第三者が盗聴している可能性のある通信路を使っている場合には web サービスを利用しない。

また、web サービスの利用時間は最小限とし、作業が終わったらきちんとログアウトする。

web サービス提供者がとるべき対策
認証情報は暗号化して送られるようにサービスを実装する。

ベンダ情報

参考情報

  1. US-CERT Vulnerability Note VU#466433
    Web sites may transmit authentication tokens unencrypted
  2. IETF RFC2109
    HTTP State Management Mechanism

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2007.09.12における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia JVNDB-2007-001187

更新履歴

2009/06/26
関連文書に JVN iPedia へのリンクを追加しました。