「巧妙化するPayPal詐欺」という記事が出ていた。引用すると、
オンライン決済サービス PayPal の口座番号とパスワードを不正収集する詐欺はますます巧妙になってきた。最近登場した詐欺メールは、「セキュリティ対策」と称して、PayPal ユーザーに金融口座番号の提示を求めている。 ... 詐欺メールには、個人口座情報の入力を要求する偽サイトへのリンクも記されている。
とある。この記事からリンクされている昨年9月の記事「PayPal、詐欺メール攻撃の標的に」には、次のように書かれている。
この偽サイトは、セキュリティ対策が施された PayPal のサイトを装っており、アドレスも http://www.paypalsys.com/ で始まっているため、だまされやすい。
...
詐欺メールの手口はますます巧妙化しており、今では HTML 形式のメールで PayPal のロゴとタイプフェースがついたものが届くこともある。このようなメールには、セキュリティの鍵のマークまでついたサイトへのリンクが張られていたりもする。
本物のPayPalのドメインは、「paypal.com」だが、偽サイトは「paypalsys.com」だったそうだ。こうした偽メールに騙されないためには、消費者が、アクセス先のドメインを常に目視確認する習慣を身につけるしかない。5月21日の日記にも書いたように、それが基本中の基本だ。しかしどうだ、日本の銀行ときたら、アドレスバーを隠して、ドメインの確認をわざわざ難しくしている。すべての銀行がではないのだが、日経システム構築の調査によると、そうした銀行が32行も存在するという。
今後もし日本で同様の事件が起きたら、銀行側は、「システムに不具合はない」すなわち、騙される預金者の責任だとするコメントを発表するだろうと予想する。しかし、アドレスバーを隠したシステムは、こうした偽メールに騙されやすい顧客を自ら育てているものだ。こうした危険性は日本銀行主催のシンポジウムで1年以上前に指摘されている。「知らなかった」とは言えないだろう。対策はちっとも難しいことではない。アドレスバーを消すJavaScriptコードを削除するだけでよい。なのに、ちっとも改善される様子が見られない。
「日本は平和だな」と思うことがある。こうした事件の多くが日本以外で起きて、海外ニュースとして伝えられてくるからだ。「日本人のモラルが高いからなのか、検挙率が高いため犯罪が抑止されているからなのか……」と思わず考え始めてしまうが、そんなことはないだろう。架空請求の詐欺メールがいっこうに減らない。儲かるらしいとなると、こぞって模倣犯が現れる。けっしてモラルが高いということではなく、単に、そうした人物に技術的素養がないだけのように思える。
このところ日経BP社がやたらと「SSL-VPN」なる製品をもちあげている。
ようするに、Webブラウザさえあれば社内システムを出先から利用できるようにするシステムのことなのだが、ずいぶん以前から存在した、リバースプロキシタイプのシングルサインオンシステムと何が違うというのだろうか。
そもそもこれは、Virtual Private Networkではない。記事にも書かれているように、当然ながらWebブラウザでできることは限定される。おそらく、従来システムと異なる新しい機能は、Javaアプレットを使ったTCP接続の中継機能なのだろう。記事から引用すると、
すべてのアプリケーションを(1)で利用できればよいのだが,POP3やSMTP,telnetなどを使うアプリケーションからWebブラウザのSSL機能を利用することはできない。そこで考えられたのが,(2)の方法である。
(2)は,SSL-VPN装置からダウンロードしたJavaアプレットがサーバーの代わりとなってクライアントの通信を受け取り,SSLでカプセル化してSSL-VPN装置に渡す。
とある。この機能が付け加わったことで、Virtual Private Networkと呼ぶことが許されてしまうのだろうか。
VPNと言えば強固なセキュリティをイメージさせる。事実、VPNのソフトウェアにさえセキュリティホールがなければ、その安全性は社内からのアクセスと同等になる。それに対し、WebブラウザによるHTTPSへのアクセスでは、Webというシステムの脆さの影響を受けずには済まされない。「SSL-VPN」へのログインでセッション管理は何で行われるのか。cookieなのか、basic認証なのか、クライアント認証なのか? 「Webブラウザが使える環境があれば,どこからでも社内のサーバーに接続できる」というくらいだから、クライアント認証は使わないのだろう。
複数のリバースプロキシタイプのシングルサインオンシステムに、セキュリティホールを見つけたことがある。ひとつは、展示会で当該製品の実演中にその場で穴の存在を確認し係員に指摘した。暗号化が意味をなさず、盗聴が可能な状況では、容易に内容を盗み見たり、アカウントを乗っ取ることができるものだった。Webの安全性というのはそんな程度のものなのだ。
「SSL-VPN」という名前付けには、VPNの安全性にタダ乗りしようとする魂胆が見え隠れする。
補足: 「Javaアプレットがサーバーの代わりとなってクライアントの通信を受け取り」というのもよくわからない。通常のJavaアプレットでは、サンドボックスセキュリティ制約により、ローカルホストからのアクセスを拒否するようになっている。それが可能だということは、署名アプレットであるはず。署名アプレットや署名ActiveXを使うのであれば、それは「専用ソフトをインストール」することと違いがないはずなのだが。