『.NET Passport』にまたも脆弱性、信頼性を疑問視する声再び

Microsoft (NASDAQ:MSFT) の共用型認証システム『.NET Passport』の脆弱性が、またしても公のメーリングリストで明らかになり、同社は1日に対策を施した。同サービスの修正は、この2か月で2度目となる。

一部報道の中で同社は、新たにみつかった脆弱性により、同社が運営する無料 Eメールサービス『Hotmail』のアカウントで、一定期間経過したアカウントの一部が、乗っ取られる可能性があったと認めた。ただ、実際にアカウント乗っ取りの形跡はないという。.NET Passport は、以前にもパスワードを勝手に変更できる脆弱性がみつかっており、同社は5月に修正を施している。

今回の脆弱性は、Hotmail のアカウントを4年以上所有し、かつ使用していた利用者にのみ影響する。.NET Passport の利用者がパスワードを忘れた場合に備えて、同サービスでは、「秘密の質問とその答え」というパスワードとは別の認証機能を用意している。攻撃者が今回の脆弱性を利用して、同認証機能を操作すると、パスワードを任意のものに変更できるという。

折りしも Microsoft は、.NET Passport サービスの信頼性向上に取り組んでいた。同サービスは、Eコマースや有料サービスなど、Microsoft 以外のサービスでも個人の認証状態を利用できるもので、個人情報の保持と認証を受け持つ共用型システムだ。

調査会社の Gartner は、前回同サービスの脆弱性が発覚した後、同サービスのユーザー認証は信頼性に欠けるとの見解を示したうえで、金融機関などの企業に、同サービスの利用を直ちに停止するよう呼びかけていた。

Gartner のセキュリティアナリスト John Pescatore 氏は、今回 .NET Passport にパスワード盗難の可能性がある脆弱性が見つかったことは、驚くに値しないと述べた。同氏は今後も新たな脆弱性がみつかるはずとの見解を示しており、前回と同様、改めて金融機関やクレジットカード発行会社をはじめ、小売業者などは、11月もしくは Microsoft が十分なセキュリティ対策を施したと証明できるまで、同サービスの利用を停止すべきと述べた。