Microsoft の共用型認証システムに重大な脆弱性

Microsoft (NASDAQ:MSFT) は8日、共用型認証システムの『.NET Passport』にユーザーのパスワード書き換えが可能な脆弱性の存在が公になったことを受け、同脆弱性に対策を施した。

同脆弱性の存在は、セキュリティ情報メーリングリスト『Full Disclosure』への投稿で明らかとなった。セキュリティ会社の Security Focus でも、同内容を転載している。この投稿では攻撃方法も示しており、Microsoft が運営する無料 Eメールサービス『Hotmail』の利用者をはじめ、.NET Passport に登録している多数の個人情報が、危険にさらされた。

すでに同脆弱性の修正は済んでいるが、攻撃者が利用すれば、.NET Passport アカウントのパスワードを、任意のものに変更できる可能性があった。パスワードの変更ができれば、攻撃者は同アカウントの情報全てを見ることができる。

.NET Passport は、Eコマースや登録制サービスの利用にあたって、Microsoft 以外のサービスでも、個人情報の保持と認証を受け持つことを目的にした共用型システムで、近年同社はセキュリティ強化に多大なリソースを投じてきた。しかし今回の問題で、同システムの信頼性には傷がついたといえ、加えて金銭的にも大きな痛手を負う可能性も出てきた。

同システムについては、昨年米連邦取引委員会 (FTC) がセキュリティおよびプライバシー問題を取り上げ、向こう20年間同システムの監査を受けるよう求めている。

一部報道によると、Microsoft と FTC との間で昨年成立した和解条件のなかには、Microsoft は「向こう20年間にわたり個人情報保護のために十分な予防措置を取り、これを遵守しなかった場合には、1つの違反事項に対し最高1万1000ドルの罰金を払う」との条項があったという。

Microsoft は同報道のなかで、今回の脆弱性が2億個のアカウントに影響をおよぼしたと認めており、FTC が各アカウントへの影響を1件の違反事項と捉えれば、Microsoft に課される罰金総額は、2兆2000億ドルに達する可能性がある。

なお FTC は、今回問題となった脆弱性について詳細なコメントを控えている。