Firefoxのパスワード抜きアドオン「Firesheep」を防ぐには?
同じ無線LANに接続しているほかのユーザーの、ウェブサービスのアカウント情報を盗むことができるFirefoxアドオンが「Firesheep」だ。このアドオンが登場して以来、公衆無線LANでTiwtterやGmailの利用は危険極まりない行為となった。ここでは防衛策を解説しよう。
「Firesheep」は、他人が使っているウェブサービスのアカウント情報を盗むことができるFirefox用アドオンだ。導入済みのFirefoxからは、同じ無線LAN内にいるほかのユーザーの、ユーザー名やパスワードが丸見えになる。自宅の安全な無線LANなら問題ないが、駅や公共施設、学校や会社などの公衆無線LANでは、ほかのユーザーの個人情報をいくらでも集め放題になるのだ。
パスワードを盗まれる恐れがあるサービスは国内でメジャーなものだけでも、Dropbox、Evernote、Facebook、Flickr、Googleと多数(参照)。従来のアングラ系ツールと違って、専門知識を必要とせず誰でも簡単に使いこなせるため、脅威はより深刻なものとなっている
対策としてはHTTPS通信を有効にして暗号化したアクセスを行えばよい。が、日常的に複数のウェブサービスにログインするのが当たり前の現在の環境では、毎回HTTPSでログインするのは大変で、つい忘れて普通にログインしてしまいがち。Firefoxには自動的にHTTPSでログインできるアドオンが開発されているので、公衆無線LANからログイン式のウェブサービスにアクセスするときは、必ずこれらのツールで安全な通信環境を確保してからにしたい。
■「Force-TLS」
Firefoxから指定したサイトを、自動的にHTTPS通信に切り替えるアドオン。利用するサービスを1つ1つ登録しなければならないのが厄介だが、HTTPSに対応していさえすれば安全な通信を行えるようになる。基本的にTwitter、Googleなどのサービスはこのアドオンで安全な通信いたい。
詳細はこちら→Firefoxでログイン作業を安全に行えるアドオン「Force-TLS」
■「HTTPS Everywhere」
こちらもHTTPS通信に自動的に切り替えるFirefoxアドオン。上述の「Force-TLS」と違うのは、対応しているサービスが最初から登録されているところ。ユーザーはHTTPSで利用したいサービスにチェックを入れればOK。「Force-TLS」と機能が被っているのでどちらか片方で充分なように思われるが、Twitterを使う場合は両方必要となる(参照)。
詳細はこちら→特定のサイトにSSLで自動的に接続「HTTPS Everywhere」
「Firesheep」によって情報漏洩するのはFirefoxに限らず、IEやChromeを使っていても同様。公衆無線LAN環境でログインを行う場合は、必ずこれらのアドオンでセキュリティを確保したFirefoxで行うようにしたい(もしくは手動でHTTPS通信用ページからログインする)。
なお、これらのセキュリティ対策は、誰が接続しているか分からない駅や学校などの公共施設の公衆無線LANに接続する場合にのみ必要。家族しか使っていない家庭内の無線LANでは導入する必要はない。