ややショッキングな評価だろうか。FacebookとTwitterがともにセキュリティ評価が最低ランクの「F」だとされた。

FacebookとTwitterに落第点-米シンクタンク..(COMPUTERWORLD.jp)
アカウントを乗っ取るFirefoxの拡張機能が公開(ITmediaエンタープライズ 10.26)
HTTPセッションハイジャックを実行できるFiresheep登場(マイコミジャーナル 10.26)

　これらのサイトには「サイト上の安全でない部分へのリンクや、認証クッキーをSSLなしで送信するJavaScriptコードが含まれている」のだそうだ。つまり完全なSSL化はされていないのだという。

　その危険性の実態に警鐘を鳴らすために、Firefoxアドオンの「FireSheep」が公開されたという。このアドオンを利用すれば公開されているWi-Fiネットワークのユーザアカウントを通じて、Webのセッション情報を引き出してユーザーのcookieを入手してしまえば、特定のWebサイトでそのユーザーのアカウントを乗っ取ることができることになるという。「FireSheep」によってWi-Fiネットワーク上で、パケットスニファと同様のことができてしまうらしい。ネットワーク管理者であれば誰でも知識のあるパケットスニファだが、さほどネットワークの知識がない人でも簡単に乗っ取りができてしまいかねないツールであるようだ。

　Twitterも先日XSS脆弱性を解決したばかりだが、またセキュリティ問題を抱えそうだ。Facebookも深刻で、他のWebサービスとの連携が大きくなっているだけに懸念は広がる。セキュリティ問題とは実際の被害が出る可能性よりも、風評被害のような不安や懸念が広がることの影響の方が大きい。これらのサービスを利用したことのない人に利用を勧めたり提案するときに「○○はセキュリティが危ないそうじゃないですか」と、逆にこちらが無知であるかのように言われてしまったりすることもある。

　今やネットを代表するサービスになったTwitterとFacebookだけに意外な感もするが、どちらも急速にユーザを増やして伸びてきたWebサービスだけに、セキュリティ面での対策が追いついてきていなかったとも見ることができるが、今回の評価や「FireSheep」の存在に対して無視を決め込むこともできないだろう。パスワード入力のときだけSSL化すればよいという時代ではなくなってきているようだ。