Googleは、4年経ってもまだベータ版のままである無料ホスティング型メールサービスGmailの利用に伴う最大のセキュリティリスクの一つを解消しました。アカウント設定で、すべてのセッションで暗号化されたWeb接続を必須にするオプションを選択できるようになりました。研究者が発見したGmailの脆弱性については、2007年8月27日の記事「サイドジャック攻撃でGmailなどのサービスが利用できなくなる」で解説しました。
Gmailは、セキュアなGmailサイトのアドレスからアクセスしたかどうかに関わらず、ログイン情報の入力にセキュアな接続を必要とします。しかし、セキュアでないGmailサイトからアクセスした場合、Googleはログイン後に暗号化されていないWeb接続にリダイレクトします。これはGoogle側のミスであり、メッセージが暗号化されずに送信されるからです。前述のサイドジャッキング攻撃は、誰かがGoogleセッショントークンを傍受し、Gmailアカウントに完全にアクセスできる可能性も示しました。
Google は Gmail ブログで、同サービスに「設定 > 一般」ビューの下部に「ブラウザ接続」オプションが追加され、ブラウザが Web サーバーとの SSL/TLS 暗号化接続を開始する URL のプロトコル名である「常に https を使用する」を選択できるようになったと説明しました。
Googleブログでは、受信トレイの下部にアカウントアクティビティの詳細を表示するリンクが追加され、他の端末から開始されたセッションからログアウトできるようになったことも紹介されています。例えば私の場合、最近のセッションがいくつか表示されています。昨夜自宅からブラウザで接続したセッションと、最近のメールを自動取得するためにiPhoneからIMAP接続したセッションです。(Googleはこの機能を展開中なので、アダム・エングストさんの場合のように、まだ表示されない可能性があります。)
これら2つの変更により、Gmailのセキュリティが大幅に向上します。今すぐhttps設定をオンにすることをお勧めします。