<前の日記(2003年05月30日) 次の日記(2003年06月05日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 4516   昨日: 5019

2003年06月02日

日本は平和なのか、それとも単に遅れているだけなのか

巧妙化するPayPal詐欺」という記事が出ていた。引用すると、

オンライン決済サービス PayPal の口座番号とパスワードを不正収集する詐欺はますます巧妙になってきた。最近登場した詐欺メールは、「セキュリティ対策」と称して、PayPal ユーザーに金融口座番号の提示を求めている。 ... 詐欺メールには、個人口座情報の入力を要求する偽サイトへのリンクも記されている。

とある。この記事からリンクされている昨年9月の記事「PayPal、詐欺メール攻撃の標的に」には、次のように書かれている。

この偽サイトは、セキュリティ対策が施された PayPal のサイトを装っており、アドレスも http://www.paypalsys.com/ で始まっているため、だまされやすい。

...

詐欺メールの手口はますます巧妙化しており、今では HTML 形式のメールで PayPal のロゴとタイプフェースがついたものが届くこともある。このようなメールには、セキュリティの鍵のマークまでついたサイトへのリンクが張られていたりもする。

本物のPayPalのドメインは、「paypal.com」だが、偽サイトは「paypalsys.com」だったそうだ。こうした偽メールに騙されないためには、消費者が、アクセス先のドメインを常に目視確認する習慣を身につけるしかない。5月21日の日記にも書いたように、それが基本中の基本だ。しかしどうだ、日本の銀行ときたら、アドレスバーを隠して、ドメインの確認をわざわざ難しくしている。すべての銀行がではないのだが、日経システム構築の調査によると、そうした銀行が32行も存在するという。

今後もし日本で同様の事件が起きたら、銀行側は、「システムに不具合はない」すなわち、騙される預金者の責任だとするコメントを発表するだろうと予想する。しかし、アドレスバーを隠したシステムは、こうした偽メールに騙されやすい顧客を自ら育てているものだ。こうした危険性は日本銀行主催のシンポジウムで1年以上前に指摘されている。「知らなかった」とは言えないだろう。対策はちっとも難しいことではない。アドレスバーを消すJavaScriptコードを削除するだけでよい。なのに、ちっとも改善される様子が見られない。

「日本は平和だな」と思うことがある。こうした事件の多くが日本以外で起きて、海外ニュースとして伝えられてくるからだ。「日本人のモラルが高いからなのか、検挙率が高いため犯罪が抑止されているからなのか……」と思わず考え始めてしまうが、そんなことはないだろう。架空請求の詐欺メールがいっこうに減らない。儲かるらしいとなると、こぞって模倣犯が現れる。けっしてモラルが高いということではなく、単に、そうした人物に技術的素養がないだけのように思える。

「SSL-VPN」というネーミングセンス

このところ日経BP社がやたらと「SSL-VPN」なる製品をもちあげている。

ようするに、Webブラウザさえあれば社内システムを出先から利用できるようにするシステムのことなのだが、ずいぶん以前から存在した、リバースプロキシタイプのシングルサインオンシステムと何が違うというのだろうか。

そもそもこれは、Virtual Private Networkではない。記事にも書かれているように、当然ながらWebブラウザでできることは限定される。おそらく、従来システムと異なる新しい機能は、Javaアプレットを使ったTCP接続の中継機能なのだろう。記事から引用すると、

すべてのアプリケーションを(1)で利用できればよいのだが,POP3やSMTP,telnetなどを使うアプリケーションからWebブラウザのSSL機能を利用することはできない。そこで考えられたのが,(2)の方法である。

(2)は,SSL-VPN装置からダウンロードしたJavaアプレットがサーバーの代わりとなってクライアントの通信を受け取り,SSLでカプセル化してSSL-VPN装置に渡す。

とある。この機能が付け加わったことで、Virtual Private Networkと呼ぶことが許されてしまうのだろうか。

VPNと言えば強固なセキュリティをイメージさせる。事実、VPNのソフトウェアにさえセキュリティホールがなければ、その安全性は社内からのアクセスと同等になる。それに対し、WebブラウザによるHTTPSへのアクセスでは、Webというシステムの脆さの影響を受けずには済まされない。「SSL-VPN」へのログインでセッション管理は何で行われるのか。cookieなのか、basic認証なのか、クライアント認証なのか? 「Webブラウザが使える環境があれば,どこからでも社内のサーバーに接続できる」というくらいだから、クライアント認証は使わないのだろう。

複数のリバースプロキシタイプのシングルサインオンシステムに、セキュリティホールを見つけたことがある。ひとつは、展示会で当該製品の実演中にその場で穴の存在を確認し係員に指摘した。暗号化が意味をなさず、盗聴が可能な状況では、容易に内容を盗み見たり、アカウントを乗っ取ることができるものだった。Webの安全性というのはそんな程度のものなのだ。

「SSL-VPN」という名前付けには、VPNの安全性にタダ乗りしようとする魂胆が見え隠れする。

補足: 「Javaアプレットがサーバーの代わりとなってクライアントの通信を受け取り」というのもよくわからない。通常のJavaアプレットでは、サンドボックスセキュリティ制約により、ローカルホストからのアクセスを拒否するようになっている。それが可能だということは、署名アプレットであるはず。署名アプレットや署名ActiveXを使うのであれば、それは「専用ソフトをインストール」することと違いがないはずなのだが。

下痢でダウン

風邪なのだろうか、金曜から調子が悪いなあと思っていたら、昨日から下痢でダウンしてしまった。今年の夏風邪は下痢ですか。明後日と明々後日の講演準備が……。

検索

<前の日記(2003年05月30日) 次の日記(2003年06月05日)> 最新 編集

最近のタイトル

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
<前の日記(2003年05月30日) 次の日記(2003年06月05日)> 最新 編集