【レポート】

Network Security Forum 2005 - 教科書で教えるべきWebサイトを安全に利用する秘訣 - 産総研・高木氏

 

産業技術総合研究所 高木浩光主任研究員

日本ネットワークセキュリティ協会(JNSA)が主催したNetwork Security Forum 2005で、産業技術総合研究所の高木浩光主任研究員が、Webサイトの安全な利用について講演を行った。普段、開発者側の立場でWebアプリケーションの脆弱性などに関するセキュリティについて語ることの多い高木氏だが、今回は「思うところがあって」、Webサイトを利用するユーザー側の立場で語った。

「本当に伝えるべきことを誰も伝えていない」。高木氏はまずこう語る。ユーザー側がどんなところに気をつければいいのか、セキュリティベンダーはもとより行政も、そしてマスコミもそれを伝えていない、という。

たとえば行政によるウイルスなどの注意喚起では、「信用できる相手以外から送信されたメールの添付ファイルは開かない」「怪しいサイトには近づかない」といったことが対策としてあげられているだけで、水準としては「4年ぐらい前までのウイルス対策」。最近のスパイウェアはこれまでのウイルスのように、不特定多数に大量にコピーをばらまくのではなく、特定の、ごく少数の人に感染することを目的としているものもあり、そうしたものへの対策にはならないのだという。

高木氏は、顧客からのメールと思い添付ファイルを開いてしまったためにスパイウェアに感染したといった事例を挙げ、すでに出回っている検体を収集して定義ファイルを作成するウイルス/スパム対策ソフトの場合、そういったごく少数を対象にした「あなただけのために作った特別なスパイウェア」は検知することができないと指摘。そういった現状に対して、旧来からの手法を提示するだけの注意喚起では対策にならないことを示す。

高木氏はマスコミに対しても手厳しい。一部で、DNSキャッシュポイズニングへの対策としてサーバー証明書の中身を確認するよう報道されていた点について、スパイウェアに感染していない前提であれば、「サーバー証明書は目で確認するものではない。(Webブラウザで)警告が出る、出ないだけで判断すればいい。対策がないとやたら言いたがる人がいる」。

過去には、JavaScriptを使ってアドレスバーを偽装できる脆弱性がIEに存在、アドレスバーの目視確認が信用できない風潮になったが、その脆弱性自体はすでに解消されており、目視確認が有効である点を高木氏は強調する。「過大なリテラシーを仮定するのは意味がない。必要最小限のリテラシーを消費者に教えればいい」。

安全にWebを利用するために必要な対策として高木氏が挙げるのが、

  • 重要な情報を入力する際にアドレスバーのドメイン名を目視で確認すること
  • SSL通信時に表示される「鍵」アイコンの存在をチェックすること
  • サーバー証明書の異常警告が出たら「いいえ」をクリックすること

これらの対策は今まで訪れたことのあるサイトの場合で、逆に初めて訪れたサイトの場合は、サーバー証明書の内容を確認して、そのサイトや会社が信用できるかどうかを確認する必要があるとする。

一時期、銀行系のサイトなどでアドレスバーを表示しない例が見られたが、高木氏は「そういうサイトは使わない」と断じる。本物のサイトとともに偽サイトをポップアップさせるフィッシング詐欺の例もあり、「ポップアップウィンドウは信用しないことが鉄則」だ。ポップアップを使う必要性も、アドレスバーを隠す必然性もないと高木氏は主張し、「恥ずかしい(Webサイトの)設計をしないようにする必要がある」という。

サーバー証明書については、自己署名したサーバー証明書(最近ネット上では「オレオレ証明書」と言われる)を政府や自治体が使っている点について「ゆゆしき問題」と批判。「証明書の警告が表示されたら証明書の内容を確認するように」と指導しているサイトがあるが、「署名が異常だから警告が出るのがPKIの仕組み。内容を確認しても意味がない」と指摘し、正しいサーバー証明書を使うことの重要性を強調する。

また、同氏はログインフォームをSSLを使用していないページに配するサイトは問題だと指摘、特にクレジットカード各社のサイトに多いとする。そうしたサイトでは、入力データの送信先は「https://~」となっており、IDとパスワードは暗号化された状態で送信され、ログイン後はSSLのサイトになっているというが、「http://~」から「https://~」に移動するためのパケットが改ざんされて「http://~」へ飛ばされる可能性もあり、決して安全な方法ではないわけだ。

高木氏はIEのセキュリティ設定にも言及。IEのセキュリティレベルは「中」に設定し、「スクリプトによる張り付け」を無効にするよう推奨する。ActiveXについては、「とりあえず切っておくというアドバイスは無責任」。障害者向けのアクセシビリティツールなどでActiveXが使われている場合にそのツールが使えなくなるほか、ActiveXを利用するサイトでは、そうした問題に対応するためにActiveXを有効にするよう指導するため、安易にActiveXをダウンロード実行してしまう風潮になってしまう。

高木氏は、「ActiveXを正しく見分ける方法をまず教えるべき」と指摘。ActiveXをオフにするのは、脆弱性が存在し、それに対する修正パッチがリリースされていない段階で取り得る対策であって、「脆弱性の回避策と混同させてはいけない」。ActiveXコントロールをダウンロードしようとするとウィンドウが表示され、提供側の社名が確認できるので、それを見てその会社が信頼できるかどうか、そのActiveXコントロールをダウンロード実行しても大丈夫か、その都度確認すべき、というのが高木氏の主張だ。

「責任分界点を明確にすべき」と高木氏。アドレスバーや鍵アイコンが偽装できる脆弱性はWebブラウザベンダーの責任であり、クロスサイトスクリプティングの脆弱性や本物のサイトの改ざんはWebサイト運営者の責任であり、それらはすべて修正すべきものだ。ただ、スパイウェアなどに感染して偽サイトに誘導させられるファーミングについては消費者の責任であるという。「スパイウェアに感染してしまえば、何でもやられてしまう」。そのため安易に添付ファイルを実行しないなど、身を守るためのスキルを身につけるしかない、というわけだ。

現在は、小学生から学校の授業でインターネットについて教えているが、高木氏は「教科書に(危険性やその対策を)載せて、インターネットを(子供に)教える時点で指導しなくてはならない」と指摘し、講演を締めくくった。



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

ICONIQ改め伊藤ゆみ、グラビア初挑戦! 大胆ヌードで美ボディ披露
[16:08 8/29] エンタメ
島津製作所、乳がんの転移診断を支援する近赤外光カメラシステムを発売
[16:00 8/29] テクノロジー
東大、リチウムイオン電池の電解液として機能する「常温溶融水和物」を発見
[15:46 8/29] テクノロジー
現在の収入に「満足」48.1% - 資産・貯蓄に「不満」は過半数
[15:43 8/29] マネー
三井住友銀行をかたるフィッシングメールに注意 - JPCERT/CC
[15:43 8/29] 企業IT

求人情報