Cookie機能を使用せずに作られ各社ウェブメールシステムにおけるセキュリティ上の重大な欠陥を発見、警告(電子技術総合研究所) | ScanNetSecurity
2025.12.14(日)

Cookie機能を使用せずに作られ各社ウェブメールシステムにおけるセキュリティ上の重大な欠陥を発見、警告(電子技術総合研究所)

 工業技術院の電子技術総合研究所は、Cookieを使用せずURLに埋め込むIDに頼ったセッション管理方式を採用したウェブメールシステムの脆弱性を公表、運営7社に危険性を通知した。これは同研究のセキュリティ脆弱性研究グループがウェブアプリケーションの安全性について

製品・サービス・業界動向 業界動向
18 views
facebookLINE
 工業技術院の電子技術総合研究所は、Cookieを使用せずURLに埋め込むIDに頼ったセッション管理方式を採用したウェブメールシステムの脆弱性を公表、運営7社に危険性を通知した。これは同研究のセキュリティ脆弱性研究グループがウェブアプリケーションの安全性について調査してわかったもので、セッション管理(一連のアクセスが同一ユーザからのものであることを追跡する処理)のために、URLの引数部に予測が困難なセッションID(番号)を含ませる技術(URLrewriting技法)を使用した場合、そのURLが解読可能でも、文字列がそのまま第三者に漏洩してしまうことがわかった。この問題を警告されたgooコミュニティ、ZDNetMailなどの各社は、認識し対策を始めているという回答を寄せている。なおユーザー側の対策としては、ウェブメールで受信したメール中にあるリンクを、クリックしない、アクセスする場合は別のブラウザウィンドウを開いて、そこに目的のURLをコピー&ペーストしてアクセスする、ウェブメールのHTMLメール機能をOFFにする、HTMLメールを開かない、といった方法で危険を回避できる。

http://securit.etl.go.jp/SecurIT/advisory/webmail-1/


《ScanNetSecurity》

PageTop

アクセスランキング

  1. 新サーバ移行中にファイアウォール機能が有効化されていなかったことが原因 ~ ソウェルクラブの会員管理システムに不正アクセス

    新サーバ移行中にファイアウォール機能が有効化されていなかったことが原因 ~ ソウェルクラブの会員管理システムに不正アクセス

  2. 不審な通信ログ検知し発覚 ~ 日本ビジネスシステムズに不正アクセス

    不審な通信ログ検知し発覚 ~ 日本ビジネスシステムズに不正アクセス

  3. CMS にパスワード総当たり攻撃 ~ 三英 公式サイトに不正アクセス

    CMS にパスワード総当たり攻撃 ~ 三英 公式サイトに不正アクセス

  4. NTTデータが GSX とセキュリティ人材育成講座の販売代理店契約締結

    NTTデータが GSX とセキュリティ人材育成講座の販売代理店契約締結

  5. 備えが必要と感じるが BCP で想定していないリスク「情報セキュリティ」ダントツ 1 位 ~ 東京商工会議所 調査

    備えが必要と感じるが BCP で想定していないリスク「情報セキュリティ」ダントツ 1 位 ~ 東京商工会議所 調査

ランキングをもっと見る
PageTop
ホーム 製品・サービス・業界動向 業界動向 記事
TOP