ニュース

Gmailにゼロデイの脆弱性情報、メール盗み見の恐れ

検索アプライアンスの脆弱性に続き、メールサービス「Gmail」の脆弱性情報が公開された。

　米GoogleのWebメールサービス「Gmail」に、他人のメールを盗み見できてしまう脆弱性が報告された。Googleをめぐっては、このほかにも複数のサービスでゼロデイの脆弱性情報が公開されている。

　Gmailの脆弱性情報は、ハッカーサイトの「GNUCITIZEN」などで公開された。同サイトによれば、この問題を悪用するとクロスサイトリクエストフォージェリ（CSRF）攻撃を仕掛け、Gmailアカウントにバックドアをインストールして会話をすべて盗み見することができてしまうという。

　ユーザーがGmailにログインした状態で悪質サイトを閲覧すると、バックドアがインストールされ、被害者のフィルタリストに新しいフィルタが作成される。例えば、添付ファイルが付いたメールを自動的に別のメールに転送するフィルタを作成することが可能だという。

　この攻撃は非常に悪質であり、ユーザーが被害に気付くことはまずあり得ないとGNUCITIZENは指摘。もしGoogleがこの脆弱性を修正したとしても、被害者のフィルタリストにこのフィルタがある限り、攻撃は続くとしている。

　Googleサービスをめぐっては、企業向け検索アプライアンス「Google Search Appliance」の脆弱性情報が公開されたほか、ブログサービスの「Blogspot」、写真共有サービス「Picasa」の脆弱性やコンセプト実証（PoC）コードが公開されたとの情報もある。

[ITmedia]

Copyright© 2010 ITmedia, Inc. All Rights Reserved.