これでも大学職員のブログ

「はてなダイアリー」から「はてなブログ」に移行しました。※旧URLにアクセスするとリダイレクトされますのでご安心を。

Gmail導入大学は一応知っておこう。Gmailのメールが盗まれる件。

今回は「Gmailセキュリティホール」を取り上げました。


にほんブログ村 教育ブログ 大学教育へ



2010.12更新。その後紹介記事に以下の追記有り。
(編集部からの修正とお詫び)記事の見出しに「Gmailをすべて盗まれる」とありますが、正しくはGoogleにログインしている(Gmailの)メールアドレスを盗まれるが正しい表現でした。修正してお詫びいたします。(2010年11月27日)



いきなり紹介します。  (一部で結構反響あり)


http://jp.techcrunch.com/archives/20101120whoa-google-thats-a-pretty-big-security-hole/

Facebookならたぶん、これを機能として実装したいだろうが、われわれ一般ユーザにとっては大きなセキュリティホールだ。
今朝(米国時間11/20)、http://guntada.blogspot.com(今はまだ、ここへ行ってはいけない!)の作者が、説明のメールをくれた。

Googleのアカウント(Gmailなどなど)にログインしている状態で、上のサイトへ行くと、メールをすべて盗まれる。そして盗んだ証拠に、ただちにそれらをメールしてくる。


これはかなり強烈。 実例まで載っている。


どんな仕組みなのかは良くわかりません。
ただ、この不具合を見つけた人が21歳というのだからすごい。


とりあえず、今現在この問題は解決しているとのこと。


Googleによれば、問題は解決した: “Google Apps Script APIの問題箇所を早急に修復いたしました。GmailのユーザがGoogleのご自分のアカウントにログインしている状態である特別な設計のWebサイトを訪れると、ユーザの許可なくメールが送られてしまうのは、この問題が原因でした。弊社は、この問題を実証しているサイトをただちに削除し、その直後にその機能を不能化しました。


割りと対応ははやかったようですね。




だからといって「やっぱりメールは学内で構築するのがいい」という結論にはならないかと。


学内で立てたメールサーバーに対して、定期的にセキュリティアップデートをしている(その都度メールサーバーを停止している)大学がどれだけあるでしょう。


脆弱性が発見されそのパッチが出ても、すぐに当てない(当てられない)大学も多いと思います。


ただ漠然と「学内なら安全」という考えは、ちょっと危険と思われます。


メールシステムを外に出す、出さない論争は終わらない。。


にほんブログ村 教育ブログ 大学教育へ