Microsoft の共用型認証システムに重大な脆弱性

この記事のURLhttp://japan.internet.com/busnews/20030509/11.html

Microsoft (NASDAQ:MSFT) は8日、共用型認証システムの『.NET Passport』にユーザーのパスワード書き換えが可能な脆弱性の存在が公になったことを受け、同脆弱性に対策を施した。

同脆弱性の存在は、セキュリティ情報メーリングリスト『Full Disclosure』への投稿で明らかとなった。セキュリティ会社の Security Focus でも、同内容を転載している。この投稿では攻撃方法も示しており、Microsoft が運営する無料 Eメールサービス『Hotmail』の利用者をはじめ、.NET Passport に登録している多数の個人情報が、危険にさらされた。

すでに同脆弱性の修正は済んでいるが、攻撃者が利用すれば、.NET Passport アカウントのパスワードを、任意のものに変更できる可能性があった。パスワードの変更ができれば、攻撃者は同アカウントの情報全てを見ることができる。

.NET Passport は、Eコマースや登録制サービスの利用にあたって、Microsoft 以外のサービスでも、個人情報の保持と認証を受け持つことを目的にした共用型システムで、近年同社はセキュリティ強化に多大なリソースを投じてきた。しかし今回の問題で、同システムの信頼性には傷がついたといえ、加えて金銭的にも大きな痛手を負う可能性も出てきた。

同システムについては、昨年米連邦取引委員会 (FTC) がセキュリティおよびプライバシー問題を取り上げ、向こう20年間同システムの監査を受けるよう求めている。

一部報道によると、Microsoft と FTC との間で昨年成立した和解条件のなかには、Microsoft は「向こう20年間にわたり個人情報保護のために十分な予防措置を取り、これを遵守しなかった場合には、1つの違反事項に対し最高1万1000ドルの罰金を払う」との条項があったという。

Microsoft は同報道のなかで、今回の脆弱性が2億個のアカウントに影響をおよぼしたと認めており、FTC が各アカウントへの影響を1件の違反事項と捉えれば、Microsoft に課される罰金総額は、2兆2000億ドルに達する可能性がある。

なお FTC は、今回問題となった脆弱性について詳細なコメントを控えている。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。