米マイクロソフトは米国時間で5月8日,認証/決済機能を提供するサービス「.NET Passport」にセキュリティ上の問題があったと発表した。ユーザーがパスワードを忘れたときのために,パスワードを再設定するための機能にあったセキュリティ・ホールを突くものである。アカウント名を知ってさえいれば,簡単な操作でパスワードを変更したり,そのアカウントを乗っ取ったり,個人情報を盗んだりすることができた。同社によれば,すでにこの問題は修正済みで,被害状況を調査中であるという。

 今回のセキュリティ・ホールの怖さは,攻撃するのに複雑な操作やスキルなどが不要な点にある。攻撃相手のアカウント名を含んだ特定のURLにアクセスすると送られてくるメールに従って操作するだけで,ユーザーのパスワードを変更し,アカウントを乗っ取れた。

 具体的には,次のようにする。攻撃者は,攻撃相手のアカウント名と自分のメール・アドレスを組み合わせ,ごく簡単なCGI(共通ゲートウエイ・インタフェース)引数を作成する。そのCGI引数を伴って.NET Passportのサーバーにアクセスすると,自分のメール・アドレスにパスワード再設定のためのURLが送られてくる。このURLにアクセスしてパスワードを再設定すれば,そのアカウントを乗っ取れる。

 米国版の.NET Passportでは,日本版ではサポートしていないクレジット・カードによる決済機能がある。アカウントを乗っ取られた場合,クレジット・カードを不正利用される危険もあった。また,同社のメール・サービス「Hotmail」も,ユーザー認証に.NET Passportを使うため,メールの内容を盗み見される恐れもあった。(H.J.)