WebブラウザでcookieによるHTTPセッション管理の仕組みを規定している「RFC 6265」（旧RFC 2965）のセキュリティ問題について、米カーネギーメロン大学のCERT/CCが9月24日に脆弱性情報を公開して注意を呼び掛けた。

それによると、RFC 6265を実装しているほとんどのWebブラウザでは、HTTPリクエスト経由で設定されたcookieによって、リモートの攻撃者にHTTPSを迂回され、セッション情報を取得される恐れがある。

HTTP cookieの潜在的なセキュリティ問題については以前から指摘されていたが、中国や米国の研究チームが8月に米ワシントンで開かれたUSENIX Security Symposiumで、この問題を突いた攻撃についての論文を発表していた。

この問題を根本的に解決するためには、RFC 6265やRFC 6454を更新してcookieを処理する際の安全性を高める必要があるとCERT/CCは解説する。

研究チームでは攻撃を部分的に食い止めるための対策として、Webサイト運営者に対し、トップレベルドメインへの「HSTS（RFC 6797）」の導入、「includeSubDomains」オプションの利用を勧告している。

この問題は、米Apple、Google、Microsoft、Mozillaなどが提供する主要ブラウザが影響を受ける。ユーザー側ではWebブラウザを常に最新版に保つようCERT/CCは勧告。特にMicrosoftのInternet Explorer（IE）については、2015年6月からHSTSのサポートが追加されたIE 11以降のバージョンに更新するよう促している。

Copyright © ITmedia, Inc. All Rights Reserved.