特徴：HTTPセッションハイジャックの対象とする Web サイトを独自に定義できる

HTTP セッションハイジャックを実現するツールは、「Firesheep」だけではありません*1。「Firesheep」の特徴には、HTTP セッションハイジャックの対象とする Web サイトを独自に定義できる汎用性があります。以下に Eric Butler 氏の説明を引用します。

Firesheep is doing the exact same thing as these other tools, but with a simpler user interface. Firesheep is more generic than FBController, but it still needs to be aware of what sites to target.

Firesheep, a day later - codebutler

試しに「ニコニコ動画」の HTTP セッションハイジャックを再現してみました。再現環境は、先ほどの Twitter のセッションハイジャックを再現した環境と同じです。「Firesheep」に同梱されているコードを参考に「ニコニコ動画」のHTTP セッションハイジャックの定義スクリプトを書いてみたところ、「ニコニコ動画」の HTTP セッションハイジャックができてしまいました（下図を参照）。他にも僕が普段使っている Web サービスの一つで、HTTP セッションハイジャックできることを確認しています*2。

無線LAN環境のみで動作するものなのか

「Firesheep」に関連する記事等を読んでいると、認証なく接続できる無線 LAN 環境における悪用の危険性にふれられることが多いようです。ただし、「Firesheep」は有線 LAN 環境でも悪用される恐れがあります。有線 LAN 環境において「Firesheep」が悪用される場合、悪意ある第三者が ARP Cache Poisoning 等により有線 LAN 環境に流れるパケットを盗聴できなければなりません。

試しに有線 LAN 環境において、ARP Cache Poisoning *3を悪用して、「Firesheep」による HTTP セッションハイジャックを再現してみました。下図が再現した様子になります。

この再現環境では、ARP Cache Poisoning により、Host OS の Windows XP SP3（青枠：192.168.0.30）の通信が Guest OS の Windows XP SP3（赤枠：192.168.0.103）を経由して、ゲートウェイ（192.168.0.1）に送信されます。Host OS と Guest OS が保存しているゲートウェイの ARP キャッシュが異なることが橙色の枠から分かります。この状態で、Guest OS において「Firesheep」を起動しておき、Host OS の Google Chrome で Twitter にログインします。すると、「Firesheep」に Twitter の HTTP セッションが表示されてしまいます。

「Firesheep」を使ってみた結果、 HTTP 通信を盗聴できる環境であれば、「Firesheep」は HTTP セッションハイジャックに必要なセッション情報等を、盗聴した HTTP 通信から容易に抽出できるツールと言えます。

Firesheep対策ツール

Firesheep 対策ツールには「BlackSheep」や「FireShepherd」などがあります。「BlackSheep」は、実際にはセッションを確立していない HTTP 通信を送信し、それを検知した「Firesheep」が HTTP セッションハイジャックしようとする行為を検出するツールです。「FireShepherd」は www.facebook.com に対して、定期的に不正な値を設定した HTTP リクエストを送信し、その HTTP リクエストを盗聴した「Firesheep」をエラーで終了させるツールです。

この 2 つのツールの目的は、「Firesheep」そのものの検出、または終了させることだけです。HTTP セッションハイジャックそのものを防ぐものではありません。HTTP セッションハイジャックを防ぐために、これらのツールは意味がありません（個人的にツールの着眼点は好きなんですが）。

「BlackSheep」、「FireShepherd」には興味がなかったため、実際に動作確認をしていません。「BlackSheep」、「FireShepherd」に関しては、M1n0x 氏の記事が参考になります。

Web ブラウザで HTTPS 通信を強制するツール

Web ブラウザで HTTPS 通信を強制ツールには、「Force-TLS」や「HTTPS Everywhere」などがあります。これらのツールの目的は、指定した Web サイトに利用者を強制的に HTTPS で接続させることです。これらのツールが機能するためには、Web サイトが HTTPS 用の Web ページを用意している必要があります。これらのツールをインストールしていると、利用者が対象 Web サイトに誤って HTTP で接続しようとしても、Web ブラウザが強制的に HTTPS で接続させます。例えば、Web ブラウザのアドレスバーに http://www.example.com と入力しても、Web ブラウザが https://www.example.com に接続させることを想像してみてください。

「Force-TLS」、「HTTPS Everywhere」はどちらも目的は同じですが、実装方法が異なります。これらのツールを試した結果*4とツールの説明から、これらのツールの違いを表にまとめてみます。

「Force-TLS」や「HTTPS Everywhere」が、HTTP セッションハイジャックを防ぐうえで有効か、考えてみます。なお、ここからの説明は、「HTTPS Everywhere」を基にまとめています。

secure 属性が有効になっていない cookie を使って、HTTPS 通信のみでセッションを維持している場合、Web ブラウザで HTTPS 通信を強制するツールは、HTTP セッションハイジャックを防ぐことに効果があると考えました。別の見方をすると、Web ブラウザで HTTPS 通信を強制するツールによって、HTTP セッションハイジャック防止の効果が得られる Web サイトは限られる、ということになります。僕の誤解、間違い等あるかもしれません。その際はご指摘いただけると嬉しいです。

Cyber Clean Center(CCC) を例にとり、「HTTPS Everywhere」が HTTP セッションハイジャック対策として有効だと考える場合を説明してみます。

CCC の Web サイトに接続すると、HTTP レスポンスにて「BIGipServerpool」という cookie が発行されます（下図を参照）。この cookie は secure 属性が有効になっていないため、HTTP でも送信されることになります。

cookie「BIGipServerpool」をブラウザに保存した状態で、アドレスバーに http://www.ccc.go.jp と入力します。すると、Web サイトから 302 レスポンスコードが応答され、https://www.ccc.go.jp に誘導されます。しかし、HTTP リクエストでは cookie「BIGipServerpool」が送信されてしまいます。HTTP 通信を盗聴できる環境であれば、この HTTP リクエストを盗聴することで、第三者の cookie「BIGipServerpool」を知ることができます。

「HTTPS Everywhere」をインストールして、同じようにアドレスバーに http://www.ccc.go.jp と入力してみます。このとき、http://www.ccc.go.jp を https://www.ccc.go.jp に置換するだけの独自ルールを設定しておきます（下記を参照）。すると、https://www.ccc.go.jp に誘導される点は同じですが、ブラウザは http://www.ccc.go.jp に HTTP リクエストを送信せずに、https://www.ccc.go.jp に誘導されます。これは、ブラウザの内部で https://www.ccc.go.jp にリダイレクトするためと考えます。「HTTPS Everywhere」を使わない場合と比べると、HTTP 通信で cookie「BIGipServerpool」が送信される余地がなくなります*5。

<ruleset name="ccc.go.jp">
  <target host="*.ccc.go.jp" />
  <rule from="^http://www\.ccc\.go\.jp/" to="https://www.ccc.go.jp/"/>
</ruleset>

ちなみに、Web サイトが HTTP 通信と HTTPS 通信ともに同じセッション ID を cookie で送信するように実装していた場合、「HTTPS Everywhere」を使ったとしても、HTTP セッションハイジャックを防ぐことができないと考えます。