Gmail にログインしている E-mail アドレスを盗まれるセキュリティホール 47
ストーリー by reo
Gmail 導入企業学校涙目 部門より
Gmail 導入企業学校涙目 部門より
ある Anonymous Coward 曰く、
TechCrunch JAPAN の記事によると Gmail に重大なセキュリティホールが発見された。
Google アカウントにログインした状態で悪意のあるサイトを訪問すると、そのアカウントで Gmail に蓄積したすべてのメールが盗まれるというもののようだ。既に実証サイトが作られている。これは API の欠陥をついた攻撃だったようだが、現在は既に修正された模様。
どのような手法だったのか、実際に悪用された例はあったのか、興味深い。
TechCrunch JAPAN の記事では「メールをすべて盗まれる」とあるが、本家 TechCrunch の記事によれば、harvested your Google email とあり、この記事に言及している他記事 (例えば Techie Buzz の記事) によれば、ログインしている Gmail の E-mail アドレスが収集されてしまうとのことで、セキュリティホールであるだけでなく重大なプライバシーの侵害であるとしている。
GmailじゃないようでGmailな例 (スコア:3, 参考になる)
auのメールサービスのひとつであるau one メールはGmailを基盤にしていますね。他にもこのような例はありそうな気がします。
Googleとしては最近はこのような問題提起 [srad.jp]も行っているくらいですし、力を入れているサービスのはずですので、打撃でしょう。
なぜログインした状態で他のサイトに行くんだろう? (スコア:1)
考えて) 避けるのが当然だったような気がするけど最近だとタブブラウザが当たり前に
なってきた事もあって同時に複数のサイトを回ることに抵抗感のない人が多いのかな?
となると…最近の人って例えば Gmail のサイトに行ってログアウトしてもブラウザを
1 度終了させずにそのまままた別のサイトを回ったりしてたりして… ガクガクブルブル (AA略)
ま、IE だと閉じてもあまり意味はないって話もあったような気はするけど :-)
# 言うまでもなく、昔のようにしたからといって安全というわけではないので念の為。
# 運がよければどっかにセキュリティホールやら悪意のあるサイトがあっても
# 被害にあわない可能性がほんのちょっとだけ増える *かもしれない* 程度の話。
Re:なぜログインした状態で他のサイトに行くんだろう? (スコア:1, すばらしい洞察)
> 大昔だと同じブラウザを使った複数窓での閲覧は (ブラウザのセキュリティホールを
> 考えて) 避けるのが当然だった
インターネットのメールがuucpの頃から使っていますが、
その「大昔」っていつなんでしょうか?
> となると…最近の人って例えば Gmail のサイトに行ってログアウトしてもブラウザを
> 1 度終了させずにそのまままた別のサイトを回ったりしてたりして… ガクガクブルブル (AA略)
> ま、IE だと閉じてもあまり意味はないって話もあったような気はするけど :-)
そもそも、未知のセキュリティーホールが存在するであろうブラウザで、
メールのやりとりをするなんて、まさにガクブルですよね。
Re:なぜログインした状態で他のサイトに行くんだろう? (スコア:1)
15 年ぐらい前かなぁ?
時期的にネスケがまだ頑張っていた頃。
未知のセキュリティホールが存在しないソフトがどれなのか
知らないのです。素人で申し訳ない。
Re: (スコア:0)
> 15 年ぐらい前かなぁ?
> 時期的にネスケがまだ頑張っていた頃。
15年前の11月22日はちょうどWindows 95発売の前日で、IEはそもそも存在すらしてなかったはずですが(あ、英語版はあったか)。Cookieを使ってログインするなんて「高度な」サービスもどれくらいあったことやら。ていうかIEがCookie対応したのってIE2以降だったような。
記憶の捏造もほどほどにしてくださいね。
Re:なぜログインした状態で他のサイトに行くんだろう? (スコア:1)
「かなぁ?」の方が違っているのならこの場合「時期的にネスケがまだがんばっていた頃。」の方が優先される判断情報ではないでしょうか。
それくらいは察することができると思うけど、そんなことはしたくない?
#記憶なんて捏造もすり替えも日常茶飯事なもんだし。
Re: (スコア:0)
>時期的にネスケがまだ頑張っていた頃。
xmosaicのころから使ってますが、そんなの聞いたことありません。
ま、cookie使えませんが。
Re: (スコア:0)
まさかとは思いますが、この「未知のセキュリティーホールが存在するであろうブラウザ」とは、あなたの想像上の存在にすぎないのではないでしょうか。
もしそうだとすれば、あなた自身が統合失調症であることにほぼ間違いないと思います。
Re:なぜログインした状態で他のサイトに行くんだろう? (スコア:1, 興味深い)
Gmailをデスクトップのメールクライアントと同様に使い始めたら新着チェックのためにはログインしっぱなしにならざるを得ないと思うんですが。
> ま、IE だと閉じてもあまり意味はないって話もあったような気はするけど :-)
逆にIE8では「新しいセッションで開く」でCookieの状態等が他のセッションに波及しないようにできます。
Re: (スコア:0)
そのメールクライアントでGMailのメールを取れば良いじゃない
職場のポリシー次第ですが
携帯電話持ち込み禁止でWebMailも禁止ってとこもあるからなぁ
そういう客先に出てる奴が捕まらないので弱った事があります
Re:なぜログインした状態で他のサイトに行くんだろう? (スコア:1)
例えば、エロサイトを閲覧中のブラウザにURLを手入力して知り合いのサイトに行くと、その知り合いのサーバのログには「referer=エロサイト」みたいなのが残ってしまって後でツッコミを受ける可能性があるとか。
Re: (スコア:0)
refererが漏れたらセッションを盗まれるってまさかURL書き換えでも使ってるんですか? そんなのガラケーだけで勘弁してください。
それとも「セキュリティのためにCookieは無効にすべき(キリッ」とかいうたわごとを真に受けてたらサイトがURL書き換えにフォールバックして自爆したという話ですか。
Re:なぜログインした状態で他のサイトに行くんだろう? (スコア:1)
Re: (スコア:0)
別ACです.
Referer が漏れることが脆弱性になる場面というと,CSRF でしょうか.
最近は, URL にセッションIDを保存することはほとんど無くなった思うので,セッションハイジャックのリスクは減ってると思いますし.
Re:なぜログインした状態で他のサイトに行くんだろう? (スコア:1)
Chrome使ってると、Gmailはアプリ化しちゃうのでPCにloginするとたいていそのまま開きっぱなしだったり。
Googleのチャットツールが勝手に着信をポップアップしてくれるしでたぶんPC起動中ずっと入りっぱなしです。
そういやIE使わざると得ない場合だとlogout後は毎回全部の窓落としてるのに・・・
そもそもAndroidなんてどないすればええんでしょうか?
教えてエロい人。
#関係ないけど某社員は英語しか使っちゃいけないショッピングサイトで買い物した後カード情報漏れて詐欺られた・・・
Re: (スコア:0)
検索結果とかの各種設定に従った表示のために、ログインしたままって人が多そう。
Re: (スコア:0)
Re: (スコア:0)
ブラウザ起動したらまずGoogleアカウントにログインするのが普通なんでは。
Re: (スコア:0)
Google Bookmarksを使ってると、ほとんどログインしっぱなしでないと意味ないです。
#「お、このサイトいいね」と思ってブクマするたびにログインじゃ、ブクマするのに手間かかり杉
他にも検索やらReaderやら使ってるとなおさら。メールだって1時間に4~5回もチェックしてれば
ログインしっぱなしにするんじゃないかな。
Re: (スコア:0)
# GmailというよりはGoogleアカウントというべきかもしれないが
そもそも盗まれて困る? (スコア:0)
それにGoogleの偉い人が「他人に知られたくないことはすべきではない」
とか「ストリートビューに自宅が写っているのが嫌なら引っ越せばいい」という
発言をしてるような会社なので、Gmail内のメールが盗まれてても平気なのでは?
だから、Gmail使っているけど、プライバシーの保護をGoogleに期待することはせず、
盗まれて困るようなメールのやり取りには使ってないな。
Re:そもそも盗まれて困る? (スコア:3, すばらしい洞察)
Gmailな相手に送るメールの内容まではそのポリシーで斟酌できないのがつらい所なわけでして。
Re: (スコア:0)
Re: (スコア:0)
そこにあると分かっているアカウントからすっこ抜くのでは意味が少し異なるかと
Re:そもそも盗まれて困る? (スコア:1)
>盗まれて困るようなメールをGmailでやり取りしている時点でおかしいと思う。
googleのプライバシーに関する考え方は別として。
「Google Apps」のgmailは、どうだったんですかねい? そっちの説明を含めた対応が大変そうだ。
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
Re:そもそも盗まれて困る? (スコア:1, おもしろおかしい)
○○様
大変申し訳ありませんが、gmailなんぞお使いになられてるあなた様には
本メールにてご報告することはできません。
まともなメールを取得してから出直してきて下さい。
以上
Re: (スコア:0)
Re: (スコア:0)
その昔はインターネットメールが確実に到達すると期待すること自体頭おかしいと思われてたんだけどいつの間にかうやむやになってるよね。
Re: (スコア:0)
それに対する返信も数分以内に送ることになっていますよ
そらーケータイを握りながらチャリに乗る人も現れるというものです
Re: (スコア:0)
メールの利点に
直電と違って相手を拘束しないってのがあった筈ですよね。
ケータイのチャット同然の意味不明なルールを他のE-MAilにも押し付けてくる厚かましい連中はどうにかなりませんか
緊急性の案件はしばらく塩漬けにしておいてもいいじゃない。
# といいながらきれいさっぱり忘れてて期限間際にあわてたりする訳ですが
Re: (スコア:0)
>緊急性の案件はしばらく塩漬け
ガクガクブルブル
Re: (スコア:0)
それくらいじゃないとデスマーーチに突入できないじゃないか
Re: (スコア:0)
E-Mailの"手紙"は相手の"郵便箱"に送るけれど、
今の人は直接的に"手紙"を相手にぶつけるイメージ。
授業中、紙の切れ端に書いてやりとりしてた。
ちょうどあんな感じですね。
Re:そもそも盗まれて困る? (スコア:2, おもしろおかしい)
>今の人は直接的に"手紙"を相手にぶつけるイメージ。
矢文?
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
プルシャって言いましたっけか?
Re: (スコア:0)
元々の教育内容やら行事やら等々で手一杯だからという理由で、こういうものを
学校では一律禁止しようとしているくらいですから。
砂に頭を埋めている駝鳥のお尻を、時々蹴飛ばしてやるという意味で、こういう
ITにからんだ、安全性やら、秘匿性、確実性、等々を考えさせるニュースは必要悪かも。
Re: (スコア:0)
Pメールは電話番号のサブアドレス部分を利用してメッセージを直接相手の
電話機に送ってましたから。
どっちかというとショートメッセージなのでしょうけど。
Re: (スコア:0)
「全部Gmailに移行した(キリッ」
って奴が大量発生してたから、奴ら今頃慌ててると思うぜ
Re: (スコア:0)
Gmail利用のためのプロトコルにしてしまおう! (スコア:0)
Blogのマスゴミ化は既に始まっている (スコア:0)
あなたのGmailがすべて盗まれる?
FUDだか東スポメソッドだか知らないが
事実は正確かつ率直に書くべきでは?特にセキュリティに関するものなら。
私はGoogleに対しては中立的立場と思っているが、こんな煽りだらけの記事を書く
TechCrunchについては「二度と信用しないゴミサイト」リストに直行することを決めました。
Re:Blogのマスゴミ化は既に始まっている (スコア:2)
これは TechCrunch Japan の誤訳でしょう。 FUD とか東スポメソッドとかいった意図があるわけではなくて、 TechCrunch Japan の記事を書いた翻訳者が、英語で「email」という単語はメールアドレスの意味で使われることもあるということを知らなかっただけじゃないかな……。
いまだに訂正が出ないところを見ると、 TechCrunch Japan は自分たちが流した誤報を訂正する気がないようですね。
Re: (スコア:0)
Re:Blogのマスゴミ化は既に始まっている (スコア:2, 興味深い)
Blogがマスメディアに当たるかというのは興味深いポイントかも。
特定少数の発信側から大衆へ、がマスメディアの定義であるなら
TechCrunchぐらい大きいところはマスメディアと考えるのもあながち間違いではないとも思える。
世の中には発行部数1万部に満たず編集も1人か2人程度の弱小マスメディアがあふれているけど
そういった所が果たしていた役割はBlogというプラットフォームに乗り換えられつついるような気もする。
#かなりオフトピ
Re: (スコア:0)