今すぐ!IE6オートコンプリートパスワード削除とLastPass等への切り替えを
Windows XPとIEに脆弱性、なんてしょっちゅうで慣れてしまいがちですが、危険性にはこまめに対処することが重要です。
FTPツールからのパスワード漏洩が問題になっていますが、もっと広く使われている、IE6のオートコンプリートパスワードの漏洩も問題です。
@IT - FTPソフトに加えIE6では「オートコンプリート」のアカウント情報も流出
Twitterのアカウント情報が盗まれるとかの話題が散発していますが、IE6のオートコンプリートパスワード流出との関連も理論的にありえるわけです。
可能であればIE8とかに上げてIE6は削除が望ましいのですが、諸事情で無理な方はせめてオートコンプリートパスワードを消されることをお勧めします。
とは言っても、幾多のパスワードを覚えられないし、使い回したらこれまた危険、どうするの?という問題がのこります。
これが最善と自信を持って勧められるわけではありませんが、オートコンプリートパスワードという危険な状態からデータを吸い上げて、プロテクトがかかった「比較的」安全な場所へ移してくれるということで、LastPass https://lastpass.com/ というブラウザプラグインツール(今のところ無料)をお勧めします。
もちろん、これが万全と保障はできませんし、何か問題が起きる危険性は残ります。しかし、銀行にお金を預けるように、IDとパスワードもきちんとした入れ物に入れるほうがましだと思います。
また、オンラインにIDとパスワードを置くことに抵抗の大きい方にはID Manager http://www.woodensoldier.info/soft/idm.htm というソフト(無料)があります。ただ、安全性を保障できるものではありませんし、パスワードが入ったファイルが人の手に渡って、総当り攻撃を受け続けるとか考えると運用をしっかりやらないと怖い面があるのは確かです。とはいえ、IE6にパスワードを残すとか、パスワードを使いまわすとかよりははるかに安全と思います。
XPの脆弱性の対応も:
さて、これと少し関連があるかもしれない、IEとWindows XPの脆弱性に関する情報と回避策があります。
IEに情報漏えいの脆弱性、MSがセキュリティアドバイザリを公開 INTERNET Watch
Windows XP環境またはIEの保護モードを無効にしている環境において、悪意のあるWebサイトにより、ファイル名と場所が分かっているPC内のファイルに攻撃者がアクセスできる可能性があり、情報漏えいが起こる
(中略)
また、Windows XP環境に対しては、修正パッチ提供までの回避策として、レジストリの変更により問題を回避するためのツール「Fix it」を公開している。
というニュースで、INTERNET Watchの記事には以下の、セキュリティアドバイザリおよびWindows XPでの問題回避ツールFix itが紹介されています。
セキュリティアドバイザリ(980088)
http://www.microsoft.com/japan/technet/security/advisory/980088.mspx
Windows XP用「Fix it」のダウンロードページ
http://support.microsoft.com/kb/980088
パッチを出して直しているMicrosoft が回避ツールを出してきたということにこの問題の深刻さが現れていると思います。Windows XPをお使いの方は特にこの問題に敏感になりツールの適用をお勧めします。
パスワード管理フレームワークこそが「OS」となる?
クラウド時代で、端末はどうでもいいとかいう話があちこちであります。しかし、シングルサインオンの仕組みの普及はまだ先です。Twitterの OAuthプロトコルもうかつに使うと酷い目にあいかねません。
今後のネット端末の条件としてパスワード管理の悩みを解消してくれる仕組みが重要になりそうです。
>>>>>> ITとマーケティング関係のマスコミや関係者のフォローが増えてTwitterが楽しくなってきました。是非フォローして、交流を広げる一助にお使いください。
お断り:
本ブログでの坂本英樹による投稿やコメントは、あくまで個人の主観に基づくものです。現在および過去の勤務先の意見や見解を表すものではありません。