 |
 |
記事検索 |
イベントレポート |
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
シンプルな安全確認ルールとそれに則ったサイト作りを~産総研高木氏講演 |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
「Network Security Forum 2005」では1日、独立行政法人産業技術総合研究所(産総研)の情報セキュリティ研究センターで主任研究員を務める高木浩光氏が、「安全なWeb利用の鉄則 ~消費者に今伝えるべき本当のこと~」と題した講演を行なった。講演では、サイトの利用者が行なうべき最低限の安全確認手順を提示し、サービス提供者側に求められる正しいサイト設計のあり方を示した。 ● 本当に伝えるべきことを誰も伝えていない
そうした例として、高木氏は内閣官房や総務省などが7月に発表した「夏休み期間における情報セキュリティにかかる注意喚起」を挙げ、問題点を指摘。「フィッシングやスパイウェアの『被害にあわないための3か条』として、ウイルス対策ソフトとオペレーティングシステムを必ず最新のものにする、メールはひとまず疑ってみる、怪しいサイトには近づかない、とある。要するに、信用できる相手から送られたもの以外は開かないように、という程度のことまでしか言っていない。4年ぐらい前のウイルス対策としての注意喚起であればこの程度のことでよかったかも知れないが、時代遅れもいいところ」として、これでは対策にならないとした。 高木氏はウイルスとスパイウェアの違いについて、「ウイルスはとにかく連鎖的に広がるところに目的がある愉快犯だが、スパイウェアはごく少数の人だけがひっかかればよい」として、「例えば100人に罠のメールを送って数人がひっかかり、1件あたりの利得が数百万円であれば、それだけで1,000万円ぐらいの利益になる。もっとひっかかりやすい手口であれば、本当に数人に送るだけでいい。この人にはこういう人からメールが来ているであろうということを想像して、その人になりすましたメールを不自然さのない形で送る。こうした手口に対して、信用できる相手から送られたもの以外は開かないように、ということでは対策にならない」と語った。 また、IPAが8月に発表したスパイウェアの防止に向けた注意喚起についても、「唯一評価できるのは、拡張子の件について若干触れている点だが、書かれていることはやはりウイルス対策ソフトを活用しましょうということ。本質的にウイルスとスパイウェアとは性質が違う。(スパイウェア対策として)ウイルス対策ソフトを買えとか、最新のものにアップデートしろというようなことを行政機関が言うのはどうかと思う」として、「本当に教えるべきことは、どんなファイルを開いてはいけないかということの周知」であるとした。 ● 不要な対策を利用者に要求してはいけない 高木氏は、利用者に対して不要な対策を要求している例もあるとして、DNSキャッシュポイズニングに関して書かれた記事を取り上げた。「この記事ではJPCERT/CCの山賀氏の発言として、HTTPSのページでは、ページごとにデジタル証明書を開いて確認することがユーザーの対策だと書かれているが、これは間違い」として、「デジタル証明書は、PKIの仕組みにより自動的に本物であるか偽者であるかを確認できるところにミソがあるのであって、目で確認するものではない。それよりも、(デジタル証明書の異常を示す)警告が出るか出ないだけで判断すればよいこと」と指摘した。また、マイクロソフトの個人向けセキュリティ解説ページについて、フィッシング詐欺に関する記述を取り上げ、「ここでは『Webサイトでも、アドレスバーに正しいアドレスが表示されているように偽装することも可能です』と書いてあるが、それは修正したのではないか」と指摘した。「確かに、アドレスバーの上に枠のないウィンドウをかぶせて別のアドレスを表示させるという手口が流行ったが、それはWindows XP SP2で修正されている。せっかくこうしたことをやっているのに、信用できませんと自分で言ってしまってどうするのか」と述べ、仕様と脆弱性はきちんと区別しなければ消費者に正しいことを伝えられないと主張した。 高木氏は、「確かに、Windows XP SP1をどうしても使わなければいけない場合や、Windows 98を未だに使っている場合には、このアドレスバー偽装の対策はされていないという問題はある。だからと言って、アドレスバーを確認しても意味がないというようなことを言っていては、いつまでたっても本来何をするべきかという、安全にWebを利用するためのリテラシーが身に付かない。あるいは逆に、ページごとに証明書の中身を確認してくださいといった、過大で本来必要のないリテラシーを仮定して、そんなことは消費者にはできないといった主張をする方もあるが、それは間違っている」として、「必要最小限のリテラシーとは何かということを追求し、それをきちんと教えていくということがいま必要とされている」と訴えた。 ● 鉄則は「アドレスバーでドメイン名を確認」「鍵アイコンを確認」の2点 高木氏は、問題を「フィッシング」と「ファーミング」に分けて考える必要があるとして、まず利用者がスパイウェアなどに感染していないことを前提としたフィッシング対策について言及。消費者側の安全なWeb利用のための鉄則は、個人情報やパスワードなどの重要な情報を入力する前に必ず「アドレスバーに表示されたURLのドメイン名を目視確認する」「(SSLを利用していることを示す)鍵アイコンの存在を確認する」という2点に集約できるとした。アドレスバーの目視確認については、「ドメイン名を確認するためには、URLの構文を覚えておかなければいけない。こう言うと、素人には無理ではないかという主張も出てくるが、これは肝心な時には特に重要だということを教えていかなくてはいけないと思う」として、教育の必要性を訴えた。また、ウィンドウにアドレスバーが表示されていないような場合には、「偽サイトだと判断して情報を入力しない」ことも必要だとした。 鍵アイコンの確認については、まず前提としてデジタル証明書の異常を示す警告が出た場合には、必ず「いいえ」を選択してそのサイトは利用しないことが重要だとして、その上で重要な個人情報やパスワードを入力する画面で鍵アイコンの存在を確認すればよく、証明書の内容まで確認する必要はないとした。ただし、サーバー証明書には会社名と住所が書かれているので、初めて訪れたサイトではサイトの信頼性を確かめる上で証明書の内容を確認することも有効だとした。 高木氏は、「こういう単純なルール、リテラシーでよいはずなのに、過剰な要求をする人もいる。これについて批判しようと思っていたが、なんと勤務先(産総研)にそれが書かれているページがあって、直せと言っているがなかなか直してくれない。電子申請システムのためのソフトウェアのダウンロードの説明で、ダウンロードする前にまず鍵アイコンをダブルクリックして、ドメイン名や有効期限を目で確認しろと書いてあるが、これは機械が確認してくれること。警告が出ていないなら自分で見る必要はない」として、とにかくシンプルなルールであることが重要だと述べた。 ● ユーザーが安全確認を行なえるサイト作りが必要 高木氏は「話を裏返せば、この鉄則に従って使ってもらえるサイト作りをしなくてはいけないということ」として、「以前は銀行のサイトでもアドレスバーを隠すのが流行っていたが、フィッシングが騒がれるようになって多くの銀行がアドレスバーを隠すのをやめている」と述べ、アドレスバーを隠したポップアップウィンドウなどは使わないといった、サイト運営者側への対応を求めた。また、現状では個人情報を入力しようとする画面に鍵アイコンが表示されていないケースも多いとして、公共料金支払いの確認サイトに対して、「ログイン画面が『https://』になっていないのはなぜか」と問い合わせた件を紹介した。問い合わせたサイトからの「ログイン後のページはセキュリティを強化したページになっているのでご安心ください」といった回答に対して、「ログイン後のページが『https://』になっていることは、パスワード送信前の段階でどのようにして確認するのか」「通信路上でパケット改竄されていれば、リンク先が『https://』から『http://』に改竄されているかも知れない」と質問を続けた結果、現在はそのサイトはトップページにあったログインの入力欄は撤去されて、ログインボタンを押すと入力画面が出るという構成に変更されたという。 高木氏はこの問題について、「なぜかクレジットカード業界はひどい」として、SSLを使用していないトップページにIDやパスワードの入力欄があるサイトが多いと指摘し、各社のトップページを紹介した。「不思議なのは、こうしたサイトに限ってフィッシング詐欺対策ツールを導入している。みなさんが営業であれば、このようなちゃんとできていない会社を探して、売り込めばいいのではないかと思う」と語り、会場の笑いを誘った。 また、SSLの証明書が異常を示す警告が出ても、それを無視するように指示するといったいわゆる「オレオレ証明書」による運用が官庁や自治体に多いとして、「これは大変由々しき問題だが、解決が難しい。政府のシステムをなぜ民間に証明してもらわなくてはならないのだといった考え方は技術的に間違っている」と述べた。また、「警告が出たら内容をよく確認しましょうといった誤った指示も多い。偽の証明書には本物とまったく同じ内容を書くことができる。しかし、署名が異常なので警告が出る。これがPKIの仕組みで、証明書の内容を警告が出た場合に見てもなんの意味もない」として、「そういう誤った説明をしているサイトは利用しないというのも、消費者の知恵かと思う」と語った。 ● ユーザー側とサイト側の責任分界点を明確に 高木氏は、「こうした話には異論もあるかと思うが、とにかく責任分界点を明確にしようということ」だとして、「消費者側はここまで気を付けて、それを前提とした上で事業者側は何をすればいいか」を明確にする必要があると述べた。こうした観点から、ユーザーがドメイン名を正しく確認できるためには、アドレスバーを隠さないことが必要であり、正しいドメイン名であっても別のサイトに情報が送信されてしまわないためには、クロスサイトスクリプティングの脆弱性は排除しなければならないとした。 また、この鉄則はスパイウェアに感染していないことを前提とした話であり、「スパイウェアに感染してしまえばなんでもやられてしまう」と警告。スパイウェアの感染を防ぐには、「実行しないスキルを身に付けるしかない」として、「デジタル署名のない実行ファイルを起動しないことや、安全な拡張子を覚えておくこと。また、長い空白を含むファイル名の問題やショートカットの問題など、ソーシャルな手口がいろいろと開発されているので、この種のことをちゃんと伝えていくということが必要だ」と述べた。 高木氏は「例えば文部科学省も、きちんとした教育用コンテンツを作り、高校あるいは中学校や小学校でこれらのことを教えなくてはならないと思う」と述べて、講演を締めくくった。 関連情報 ■URL Network Security Forum 2005 http://www.idg.co.jp/expo/nsf/
( 三柳英樹 )
- ページの先頭へ-
|
