<前の日記(2004年09月20日) 次の日記(2004年09月27日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 3103   昨日: 3315

2004年09月25日

NIKKEI NETにコラム

NIKKEI NETの「経営改革講座」で、「個人情報流出事件から教訓は得られるか」という題を頂いて、コラムを書かせていただいた。

私のような経営というものをまったく知らない者に「経営改革講座」などというものを書けるはずがないのであるが、経営者の方々がご存知でないことを伝えるのにはよい機会だと思い、どうにかそれっぽく話をつなげて脆弱性の話を書いた。

本当は最終回に、「技術者は怒っています」「かなり技術に詳しい者でないとできないレベル?」「ハッカーの仕業みたいなもの?」「悪用するような輩さえいなければいい?」「どこまでセキュリティをかければいいのか」などの話を書きたかったが、ビシッと確実な文章が書けず、嫌味を言うに留まる文章しか書けず、完成しなかった。締め切りに原稿を落として申し訳ないです。

Phishingに騙されぬようMozilla Firefoxを使う

とあるように、Mozilla Firefoxはフィッシング詐欺の防止に配慮しているようだ。

まず、Mozilla Firefox 1.0では、デフォルト設定で、ステータスバーの表示が強制されている。つまり、ステータスバーを隠すJavaScriptの機能を無効にする設定がデフォルトになっている*1。(加えて、ステータスバーの内容を自由に変更できるという、ばかげた機能もデフォルトで無効化されている。)

図1: ステータスバーを隠すJavaScript機能を無効にするFirefoxの設定

そして、ステータスバーには、HTTPSのページにアクセスしているときには、錠前アイコンだけでなく、隣にドメイン名(正確には、サーバ証明書のCommon Name)も表示するようになっている。たとえば、イーバンク銀行のログイン画面は以下の図のようになる。

図2: https:// の画面でアドレスバーが黄色になりステータスバーにドメイン名が表示されるFirefoxの機能

これはいい。これまでだと、錠前アイコンをクリックして所定の場所を見ないと、証明書の内容を確認できなかったため、素人にはわかりにくいものだった。これなら、意識の低い一般ユーザでも自然とドメイン名を確認するようになると思われる。

ユーザのとるべき行動は次のように単純化できる。

  • 個人情報やパスワードなど重要な情報を入力する際には、入力する画面のステータスバーに錠前アイコンが現れていることを確認し、その左脇に表示されたドメイン名が、自分の知っているサイトのドメイン名と一致しているかを確認する。

ちなみに、Firefoxでは、上の図のように、HTTPSのページを表示したときは、アドレスバーの背景が黄色になり、錠前アイコンも現れる。より見分けやすくなった。

そういえば昔、Netscape Communications社が最初にMosaic NetscapeにSSL機能を導入したときには、SSLの使用の有無は、青または赤の目立つ線で表示されていたのだった。それが、後にバージョン更新を重ねるごとに、目立たない表現に移り変わっていったのだった。ここ数年でフィッシング詐欺が深刻になったことで、再び目立つ表示が工夫されているわけだが、元々ブラウザ設計者はその区別を重要と考えていたわけで、原点に立ち戻っているにすぎない。

次に、SSLが使われていないサイトでは、個人情報を入力しないのだとしても、偽の情報を読まされて騙されるのを避けるために、アドレスバーを確認する必要がある。ステータスバーには何も表示されないからだ。

残念ながらFirefox 1.0 PRでは、「ツール」メニュの「オプション」の設定ではできないが、以下の方法で、アドレスバーの表示も強制する(アドレスバーを隠すJavaScript機能を無効にする)ことができる。

図3: アドレスバーを隠すJavaScript機能を無効にするFirefoxの設定

上の図のように、「about:config」のURLにアクセスすると、Mozillaの設定項目一覧が現れる。そこに「dom.disable_window_open_feature.location」という項目がある(「フィルタ」欄で「disable」などで検索して対象を絞ると見つけやすい)ので、そこの値を「false」から「true」へ変更する(ダブルクリックする)。

たとえば、意味もなくアドレスバーを隠している警察庁の「@police」で試してみると、以下の図のようになる。

図4: Firefoxでタイトルバーが強制表示になった様子

アドレスバーの背景が灰色になっているのは、ここが入力欄ではないことを意味している。サイト側が隠そうとしているのを強制的に表示させた場合は、このようになるらしい。4月26日の日記「太古の昔、アドレスバーが入力欄でなかったのを知ってるかい?」で書いた昔のMosaicはまさにこんな感じだった。

アドレスバーを隠すサイト運営者の言い分として、「戻るボタンを押されると正しく動かなくなる」というのを耳にする。戻るボタンはツールバーを隠せばよいのだから、アドレスバーだけ表示すればよいのだが、「URLを直接いじられたら正しく動かなくなる」という言い分*2があるらしい。そういう場合に、上のように入力できないアドレスバーというのは都合がよい。これならば、隠すことに何ら正当性がない。

灰色のアドレスバーは、ユーザが dom.disable_window_open_feature.location をtrueに設定しているときに現れるものだが、いっそ、アドレスバーを入力不可にしてウィンドウを開く機能をJavaScriptに新設してはどうだろうか*3

ところで、Mozillaは、7月に、XULを使って本物そっくりのユーザインターフェイスを偽装できることが脆弱性であるとして指摘された。この話は以下などにまとめられている。

slashdot.orgでも議論されていたが、この問題を回避するには、ステータスバーの表示が強制されていることを前提にすれば、ステータスバーが二重に表示されなければ、それは本物だと信じることができ、サーバ証明書は正しく確認できるという話のようだ。

ということは、SSLが使われていない場合にUI偽装に騙されないためには、アドレスバーの表示も強制しておくのが必須となる。

ちなみに、類似の偽装は、3月にInternet Explorerで実際にフィッシング詐欺に使われて実害が発生し、問題となっていた。

このときは、アドレスバーを隠したウィンドウに、画像やフォームを使った偽のアドレスバーをページ内に設置するという偽装方法だった。

この問題を解決するためだろうか、Windows XP SP2に含まれる IE 6 SP2では、ステータスバーの表示が強制されるようになったようだ*4。これはよいことだ。ソニー銀行でさえ、ログイン画面でステータスバーが表示されるようになる。

ただ、Mozilla Firefoxのように、錠前アイコンの隣にドメイン名を表示する機能がない点は劣る。

また、アドレスバーの表示を強制する機能はないようだ。IE 6 SP2では、アドレスバーを隠したウィンドウでは、タイトルバーの冒頭にURLの一部(ドメイン名まで)が強制的に表示されるようになった。たとえば、警察庁の@policeで重要なお知らせを表示させると以下のようになる。

Windows XP SP2のIEではタイトルバーにURLが強制表示される

この機能はイマイチだ。なぜなら、常にタイトルバーを見ていればよいかというとそうではなく、アドレスバーが表示されているときにはタイトルバーにURLは表示されない。<title>タグを使って偽のURLをタイトルバーに表示される可能性があるので、そこだけ見ていては騙される。アドレスバーが現れているときにはそっちを見ないといけない。

図6: アドレスバーが隠されていないときはタイトルバーにURLは表示されない

センスの悪い設計だ。

追記

9月17日の日記に書いた三井住友銀行の件が改善されていた。改善点は以下のようだ。

「(2)サーバの証明書で確認する」を削除しないのは往生際が悪い。「ログイン画面の「トラストマーク 」をクリックしてください」は、(1)の確認も必須だとしているからには、全く意味がない。そればかりか素人ユーザを混乱させるだけ有害だ。しかも、前回書いたようにこれは「サーバの証明書」ではないのだから、誤った解説だ。

*1 Mozilla 1.7.2では、デフォルトは有効のまま。

*2 そんな操作をして動かなくなるのはユーザの責任であり、それに文句を言うユーザはいないと思うんだが。

*3 既にある?

*4 設定で強制をやめることもできない?

本日のTrackBacks(全100件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20040925]
影羽連盟:Firefox Optimize Build (2005年03月31日 12:24)

 PowerPC 7450最適化版のFirefox 1.0.2に続き、PowerPC 7400の最適化版もビルドしてみました。また、PowerPC 7450版もオプションを変えてビルドし直し。細かい部分で色々と修正を加えてあります。前回は最適化オプ

Side effects of paxil cr. Paxil birth defect lawsuit. Paxil weaning. Paxil wellbutrin depression. Paxil. Paxil back.

Injectable valium. Side effects of valium. Valium liquid form.

Fioricet.

Loan calculators.:Home loan lender. (2008年04月13日 22:10)

Mortgage loan.

検索

<前の日記(2004年09月20日) 次の日記(2004年09月27日)> 最新 編集

最近のタイトル

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|
<前の日記(2004年09月20日) 次の日記(2004年09月27日)> 最新 編集