cookieによる個人情報流出とは？

Question

インターネットは３年くらい前から始めたのですが、当時の雑誌に「cookieは危険というのは幻想。実際は全く無害」といった記事があり、初心者の私に強く印象づけられました。
　それ以来、アングラ系サイトなどをまわるときにもcokkieは躊躇なく受け入れてます。
　ところで最近会社のＰＣがウィルスに感染する事件が起こり、ネットワークセキュリティツールについて調べていたところ、「cookieによる個人情報流出を防止！」などと謳っているセキュリティツールがありました。
　結局の所、cookieによって個人情報が流出するというのはどれくらいのレベルのものなんでしょうか？
　アクセス時刻やIPアドレス、掲示板書き込みに使用したハンドル名程度なら気にしないのですが、たとえば、特定のサイトへのログオンパスワードが別のサイトの管理者の手に渡る、などということがあり得るものなのでしょうか？
詳しい方回答いただけたらうれしいです。

noname#21649 · Accepted Answer

>これはJAVAを利用して、ということですか？ 

VBマクロです。マイクロソフトをさまよっていたらば．ＶＢマクロで．絶対ファイル名がわかりうるならば．その内容はすべて読み取れると記載があったと思います。アドレスは忘れました。

したがって．windowsやprofileやprogramfileの中身はすべて筒抜けと考えています。又．多くの場合に．導入時のディレクトリー（ホルダー）名は．初期設定のままでしょうから．この内容も筒抜けです。

あるアドレスでメモ帳を勝手に起動するサイトがありました。同じように．特定のソフトを起動して．そのソフトが起動しないと接続できないようなサイト．あるいは特定のブラウザであることを要求するサイトは．条件によっては．中身が相手に筒抜けであると感じています。というよりも．該当ソフトに元々細工がしてあるか．該当ソフトに細工するソフトを使用させる（変な画像閲覧用ソフトの使用で．電話番号が書き換えられた方が多くいますね）ことで．いくらでも可能でしょう。

ＶＢマクロを使用できる環境下で．ＶＢマクロの動作を一つの孤立したタスクとして．みずからが作成したファイル以外のファイルのアクセス権をなくし．終了時は作成したファィルすべてを削除し．システム情報に対するアクセス権を制限し．仮想システム情報を与える（当然ですが．プライバシー情報は与えないか．疑似情報を与えるようにします）ようにならないと．筒抜けだと思います。
  簡単に言えば．VBマクロを使用したウイルスソフトが動作できなくなるような環境．関係ウイルス駆除ソフトが必要なくなるような環境でもない限り．筒抜けだと思いますし．筒抜けになるようなソフトの開発も容易でしょう。
  個人での対応としては．複数の機械を用意し．インターネット接続用に中身が知れ渡るような偽装環境を作成したり．インターネットから入手したソフトを動かすだけの専用機を用意して（通信関係を細工されても．通信していないのだから影響しない）使ったり．個人情報保存専用の機械（通信していない．市販ソフトのみをしようしておけば．影響を受けない．ソフト会社の通信サポートを受けなければ．ソフト会社に中身を知られることがない。性悪説で行動を取ることが．セキュリティの確保につながります）を用意したりすることでしょう。

noname#21649 · Answer

>cookieを媒介として流出するということはあり得るでしょうか？

知りません。ただ．管理者が流失しているともとれる内容はあります。
一応．著作権法によって．匿名で投稿した文章などは．匿名であることを守る義務が課せられています。次に．通信会社は．通信内容の保秘義務が課せられています。
しかし．個々の商店が入手した顧客名簿に関する保秘義務は．顧客に対してはありません。ただ．各商店の従業員は．商店に対して顧客名簿の保秘義務を負う場合と負わない場合があります。

cookie の内容についても．パスワード等をそのものずばりを送信している所もありますし．暗号化しているところもあります。又．ブラウザによっては．独自の内容をファイルヘッターとして送信しているものもあるようで．内容が公開されていないことからｏｓが知っている登録名・シリアルナンバー等を送信している可能性があります。つまりブラウザによっては．特定のcookieが送られてきたときに．ｏｓが知りうる情報を送信するように作成又は変更されている可能性があります。
  jaｖaマクロ命令によっては．メールアドレスを送信するような内容が作れます。

  コンピューターセキュリテイの考え方にたつならば．
windowsの構造上osが知りうる情報は．すべてcookieを媒介として流出するように．ブラウザ等を改変可能です。（例としては．ieの障害復旧プログラムで．システムファイルが簡単に変更されています。もしこのプログラムに細工がしてあったならば．全情報は該当プログラムを配っているマイクロソフト社に通知されます）
したがって．十分osについて知りうる人物であるならば．容易に実現可能です。
  なお．本来のosであるならば．OSが知りうる情報は．タスクやユーザーによってその接続権が制限され．ｏｓ作成者ですら．該当ユーザーに化けないと取得できないようになっているはずです。システムファィルの更新は．通信で行わず．郵送など物理的に切断された状態にない限り信頼できません。
又．すべての送信内容は．マニュアルとして記載され．公開されてなければなりません。
  オーム心理教関係者が官公庁のソフトを作成し．そのセキュリティで騒動がありましたね。マニュアルに記載のない内容は．ソウトウェア作成者がセキュリティ破壊を行っていると解釈できます。

  マイクロソフト社ではこのようなセキュリティに対応をとるという話がありません。
  インターネットに接続している以上．接続しているコンピューターの保管しているすべての情報は．cookieとして流出可能です。ただ．これを実現した人物がいるか．実施しているかは知りません。

noname#21649 · Answer

以下の内容はいかがですか

参考URL：http://www.hyuki.com/security/effpriv.html

noname#21649 · Answer

以下の内容ではいかがでしょうか。

参考URL：http://www01.tcp-ip.or.jp/~world/document/cookie/aboutcookie.htm

shigatsu · Answer

cookieっていわば覚書みたいな感じでサイトの運営者が独自のパラメータなどをクライアント側に保存する機能ですから、わかりやすいパラメータだと抜かれちゃう可能性はありますね。
例えばクッキーの中身が　"ID=AAAA","PASS=BBBB" じゃ目の前にエサをぶら下げているのと同じでしょう。

確かブラウザにはcookieの設定が３つくらいあって「すべての要求を受ける」「まったく受けない」のほかに「オリジナルのサーバからの要求に対して送信する」というのがあると思います。
とりあえずこの状態にしておけばそれほど大きな問題は起きないと思います。

cookieによる個人情報流出とは？

>これはJAVAを利用して、ということですか？

>cookieを媒介として流出するということはあり得るでしょうか？

この回答への補足

以下の内容はいかがですか

この回答への補足

以下の内容ではいかがでしょうか。

cookieっていわば覚書みたいな感じでサイトの運営者が独自のパラメータなどをクライアント側に保存する機能ですから、わかりやすいパラメータだと抜かれちゃう可能性はありますね。

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング