米ラスベガスで開催されたハッカーカンファレンスDefconで、GmailのセッションIDを自動的に盗むツールが発表された(hungry-hackers.com・本家記事)。 Gmailにアクセスする際にブラウザはクッキーを送信している。Gmail上の単なる画像にアクセスするだけでもクッキーは送られているのだが、Gmailはセッション情報をクッキーで管理しているため、悪意ある者がhttp://mail.google.comの画像をメールやウェブページに紛れ込ませることでセッションIDを得ることが可能である。一旦セッションIDを手に入れてしまえば、パスワード無しにログインすることが可能になる。 このツールは2週間後にリリースされる予定だが、Gmailには常にhttpsを利用する設定オプションが追加されているので、特に保護されていないワイヤレスネットワークからアクセスする際などは利用したほうがよ