13/05/25 01:01:49.45 Q/ODlJy3.net
URLリンク(gigazine.net)
ドイツのニュースサイトハイス・セキュリティによって明かされたMicrosoftがSkypeのIMを閲覧していたという一件
に失望した1人のネットユーザーアダムさんが、ハイス・セキュリティが使用した方法とは違い、より確実に判別で
きるやり方で、SkypeのIMがMicrosoftによって検閲されていることを確認しました。
アダムさんが行ったテストは、まず初めにファイル名をサーチエンジンで検索しても絶対に検索結果として表示さ
れないようにランダム生成された長いファイル名のPHPをセットアップ。このPHPに、自動的に特定のページにジャ
ンプさせるMeta refreshタグを組み込んで、PHPをクリックするとマルウェアサイトにジャンプするように設定しました。
また、argsおよびリフレッシュタグを含まないHTMLも作成。PHPのほうには?user=foo&password=barを介して、ユー
ザーネームとパスワードを譲渡。アダムさんは作成したPHPとHTMLの2つのリンクをSkypeのIMで友人のイアン・グ
リッグさんに送りました。グリッグさんには、送られてきたリンクを絶対にクリックしたらダメ!というメッセージも送信
されたとのこと。
アダムさんがSkypeのIMでリンクをグリッグさんに送信してから45分後に、下記のHEADリクエストがApache HTTP
Serverで確認されました。
65.52.100.214 - - [16/May/2013:13:14:03 -0400] "HEAD /CuArhuk2veg1owOtiTofAryib7CajVisBeb8.html HTTP/1.1" 200 -
65.52.100.214 - - [16/May/2013:14:08:52 -0400] "HEAD /CuArhuk2veg1owOtiTofAyarrUg5blettOlyurc7.php?user=foo&pass=yeahright HTTP/1.1" 200 -
Apache HTTP Serverで確認された2つのログが意味することは、セットアップされたばかりでアダムさんとグリッグ
さんしか知らないはずのリンクに何者かがアクセスしたということです。しかもリンクはランダム生成された通常より
長いものなので、アダムさんとグリッグさんのIMを読み取らない限り、誰にもわからないはず。誰がアクセスしたと
のかということは、HEADリクエストに含まれるIPアドレスから判別可能。今回のテストでApache HTTP Serverに残
されたログのIPアドレスはワシントン州レドモンドにあるMicrosoftを示す65.52.100.214でした。