<前の日記(2004年11月30日) 次の日記(2004年12月05日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 1937   昨日: 1926

2004年12月04日

Becky! 2.12で何が改善されたか

Becky! Internet Mail のVersion 2.12 が11月17日にリリースされた。

このバージョンでは、フィッシング対策の変更点があったのだが、 窓の杜の記事には書かれていないので、書き留めておく。

Becky!の更新履歴には次のように書かれている。

Ver2.11.02 -> Ver2.12

・HTMLメール中のリンクをクリックした際、標準のブラウザで開くようにした。

・HTMLメール中の、リンクの上でマウスを動かした時のリンク先の情報などをステータスバーに表示するようにした。

Becky! Internet Mail Version 2, Readme

さてこれはどういう意味だろうか。

じつは、Becky! 2.11.02まででは、HTMLメールを表示したとき、HTMLメール中 のリンクをクリックすると、そのままBecky!のウィンドウの中でリンク先の ページにジャンプする仕様だった。また、リンクのアンカーにマウスポインタ を乗せても、リンク先のURLがステータスバーなどに表示されない仕様だった。

たとえば、以下の図のように、フィッシングメールを受信したとする。これは HTMLメールで、リンク先が本当はどこなのか、マウスポインタで探っても、 見ただけではわからない。

図1: フィッシングメールをBecky! 2.11.02で表示した様子

ここで「Register」と書かれたリンクをクリックすると、次のようにリンク先 のページが表示される。

図2: Becky! 2.11.02でHTMLメールのリンク先にジャンプした様子

Becky!の画面にはもとよりアドレスバーがないので、今見ているこのページが、 どこのドメインにあるものなのか見ただけでは区別がつかない*1

じつは、この例では、この画面は本物サイトの画面になっていて、https:// が使われて暗号化されているのだが、錠前アイコンも現れないのでそのことが わからないし、クリックしてサーバ証明書を確認することもできない*2

Outlook Expressでは、メール中のリンクをクリックするとInternet Explorer で開くようになっている。これまで、IEのアドレスバーが偽装されることや、 Outlook Expressのステータスバー(に表示されるリンク先URL)が偽装される ことが、セキュリティ脆弱性のひとつとしてたびたび指摘され、また、実際に フィッシングの手口としてそうした偽装手段が使われてきたが、 Becky! 2.11.02までのこの仕様は、そうした議論以前のものだった*3

このことは、「脆弱性」には該当しないのではないか(明示的あるいは暗黙的 な仕様に反すると言えるだけの基となる仕様が存在しない)と考え、 IPAの脆弱性窓口に届けるのではなしに、Becky!作者の乗松氏に直接メールで、 9月下旬ごろ意見として伝えていた。

Becky! 2.12では、リンク先はWebブラウザで開かれるようになり、リンクのア ンカーにマウスポインタを乗せると、以下の図のようにステータスバーにリン ク先のURLが表示されるようになった*4

図3: Becky! 2.12でリンクのアンカーにマウスポインタを乗せたときの様子

消費者にセキュリティを説くHTMLメールマガジンの偽善

NTTコミュニケーションズの「ネットお役立ちマガジン コム☆ナビ」というメールマガジンを購読しているのだが、 これがひどい。

下の図のように、HTMLメールで配信されてくるのだが、HTMLメール上に入力フォー ムがあり、送信ボタンがある。

図4: 直接入力情報を送信させるHTMLメールマガジン

送信ボタンを押したときに情報がどこに送信されるのか、わからないようになっ ている*5

昨年6月14日の日記「HTMLメールマガジンのもうひとつの危険性」で書いたように、 HTMLメール中に入力フォームを設けるなどというのは、フィッシングに騙され やすい消費者を育成しているようなものだ。

しかもこのメールマガジンのタイトルが「え!? そんなこともあるの? 最新セキュリティ知識度チェック」というのだから、臍で茶が沸いてしまう。

他にも、「ネットのセキュリティは大丈夫?チェックテストで確認しよう! 安全対策・ファイアウォール、準備はOK?」だの、「ネットライフの安全管理、 万全度チェック」だのいう号もあった。これらの内容は、購読者以外でも、 以下のページで閲覧することができる。

これらのマガジン中にはいろいろと注意書きがある。たとえば、

※メールソフトの種類や設定により各チェックボタン、「結果発表!!」ボタン が働かない場合があります。その際にはここをクリックしてください。別ペー ジよりチェック5がお楽しみいただけます。

と書かれている。最初からそうすればよいのだ。昨年6月6日の日記 にも書いていたように、ブロードバンド常時接続時代のいまどき、メールで コンテンツを届ける必要はもはやない。Webサイト上にマガジンを置けばよい。 メールは新しい号の公開を通知するだけに使えばよい。メールソフトによって ボタンが働かないものがあるというのは、それが危険な行為だから、メールソ フトの方で対策されている可能性だってある。

他にもこのような注意書きがある。

Becky! Internet Mail」をご使用の皆様へ設定のお願い

リンク先に書かれていることが、これまた危険な行為をさせようとするものだ。

coden.ntt.com メールマガジンをより快適にご覧いただくために、 「HTMLメールの表示」を「テキストに変換して表示」にし、添付ファイルを閲 覧するかたちでお楽しみいただくことをおすすめいたします。設定の方法は下 記の通りです。

「Becky! Internet Mail」をご使用の方へ設定のお願い, NTTコミュニケーションズ

図5: HTMLの添付ファイルをマイコンピュータゾーン で開けと指示している様子
「Becky! Internet Mail」をご使用の方へ設定のお願い」より

一般に、添付ファイルを開くときは、そのファイルタイプや拡張子に注意が必 要である。得体の知れないメールの「.exe」ファイルを開くことは当然危険で あるし、「.bat」や「.vbs」、「.pif」、「.scr」なども危険であり、実際、 添付ファイルを開かせようとするウイルスメールで悪用されている手口だ。

そして、「.htm」や「.html」もそれらと同様に、不用意に開いてはならない 拡張子である。なぜなら、これらを開くと、マイコンピュータゾーンでHTMLが 開かれる*6ため、 安全でないコンテンツが確認なしに起動してしまうからだ。

「最新セキュリティ知識度チェック」と言いながら、「HTML添付ファイルを開け」 と指示するなんてのは、ウイルスに感染しやすい消費者を育成しているような ものだ。

なぜわざわざこういうことをさせるのだろうか。 「より快適にご覧いただくため」という表現は、本当の理由を説明することを サボったものであり、ろくな理由でないことが多い*7

次に、10月ごろからは次の注意書きも入るようになった。

※画像が表示されない場合はここをクリックしてください(Windows XP SP2を ご導入のみなさまへ)

リンク先には次のように書かれている。

「Microsoft Windows XP Service Pack 2(Windows XP SP2)」をインストール済みのみなさまへ

「Microsoft Windows XP Service Pack 2(Windows XP SP2)」にてOutlook Expressをご利用の場合、 ネットお役立ちマガジン『コム☆ナビ』の画像が正しく表示されないことがあります。 その場合には下記の手順で画像を表示させることにより、『コム☆ナビ』をお楽しみいただけます。

「Microsoft Windows XP Service Pack 2(Windows XP SP2)」をインストール済みのみなさまへ, NTTコミュニケーションズ

ここに書くべきことは、なぜこのような操作が必要になっているのか、そして、 このメールマガジンの場合はどういう理由で、「情報バー」をクリックして かまわないのかの説明だ。つまり、たとえば次のいずれかを書くことになる。


当社のメールマガジンではWebビーコンを使用しておらず、お客様のコンピュー タを識別することは行っていません。このことをご理解頂いた上で、「情報バー」 をクリックして画像を表示してください。


もしくは


当社のメールマガジンではWebビーコンを使用しています。お客様のコンピュー タを識別するための画像を埋め込んでいます。お客様が画像をダウンロードさ れた際に、お客様がこのマガジンを閲覧されたものとして、記録する仕組みに なっています。そうして集められたお客様の行動履歴は、以下の統計情報を得 る目的でのみ使用し、個別のお客様ごとにお客様の行動を分析するといったこ とは行っていません。

  • 何パーセントのお客様がこのメールマガジンを閲覧してくださったか
  • メールを発信してからお客様がそれを閲覧されるまでの平均時間

このことをご理解頂いた上で、「情報バー」をクリックして画像を表示してく ださい。


ちなみに、このメールマガジンの場合やはり、Webバグ(Webビーコン)が 埋め込まれている。ページの末尾に次のように見えない画像が埋め込まれて おり、なにやら個体識別IDらしきものがURLに埋め込まれている。

<img src='http://go.ab0.jp/go.php?aid=0L5Ry-0pSQP'></body></html>

Webビーコンに関するプライバシーポリシーはどうなっているだろうか。NTTコミュニケーションズの プライバシーポリシーには、「セキュリティ宣言」と大そうなことが 書かれている一方で、Webビーコンに関する記述は存在しない。メールマガジンの登録ページにも記述がない。

ついでに書いておくと、 プライバシーポリシーにおけるcookieの説明も不適切だ。

クッキー(Cookies)について

クッキー(Cookies)は、お客さまがNTTコミュニケーションズオフィシャルサ イトに再度訪問された際、より便利に当サイトを閲覧していただくた めのものであり、お客さまのプライバシーを侵害するものではなく、 またお客さまのコンピューターへ悪影響を及ぼすことはありません。

NTTコミュニケーションズ プライバシーポリシー

ある行為が、ある個人のプライバシーを侵害するものになるかどうかは、その 個人が判断することである。事業者が「これはお客様のプライバシーを侵害す るものではない」といくら勝手に考えていても、それが見当違いであることが 少なくない。だからこそプライバシーポリシーの開示が必要なのであって、 「侵害するものではない」と宣言するだけで済むんだったら、プライバシーポ リシーなぞいらない。

「クッキー(Cookies)は……ありません」と、cookie一般がそういう性質の ものでないかのように言っているのも大間違いだ。何もわかっていない人が、 意味もわからずこれを書かされている様子が窺える。

書くべきことは、どのページでどのようにcookieを使っていて、それはこれこ れの結果をもたらすが、当社はこれこれの形でしか使わないようにしている ――といったことだ。

「より便利に」とか「より快適に」だの「より良いお客様サービス」だのいう 表現は、裏側に説明されていない何かがあるとみてよいだろう。

え!? そんなこともあるの? 真・セキュリティ知識度チェック

本来ならば、この種の啓蒙系メールマガジンは、 次のようなチェック項目を入れておくべきところだろう。

[1] メールの送信者が信頼できる会社のメールアドレスなら、内容を信用してよい。
×
[2] メールの見た目のデザインがきちんとした作りなら、内容を信用してよい。
×
[3] メールの見た目のデザインが自分の購読しているメールマガジンのものと同じ なら、内容を信用してよい。
×
[4] 電子署名されていないメールで、HTMLメールに入力欄や送信ボタンがあっても、 送信先がどこかわからないうちは押してはいけない。
×
[5] メールの内容が緊急に何かせよと言っているときはフィッシング詐欺の疑いが あるが、このメールマガジンのような内容なら、 詐欺の疑いはないので安心してリンク先にジャンプしてよい。

×
[6] HTMLメールマガジンの多くには見えない画像が仕掛けられていて、 誰がいつそれを読んだかの情報が送信されている。
×
[7] HTMLメールを閲覧しただけで、自分のメールアドレスが実在することを迷惑メー ル業者に知られてしまうことがある。
×
[8] Windows XP SP2を導入すると、 「このコンピュータが送信者に識別されることを予防するため、 画像がブロックされています」と注意書きが出て、 HTMLメールマガジンの画面がきちんと表示されないのは、 マイクロソフトの不具合が原因なので、いつもそのままクリックしてよい。
×
[9] 信用できないメールの「.vbs」や「.pif」などの拡張子の添付ファイルを開く とウイルスに感染することがあるのと違って、htmlの添付ファイルを開くのは、 画像ファイルを開くのと同じで安全である。
×

だが、これが載ることはあり得ない。自己否定せねばならないのだから。

ようするに、HTMLメールマガジンがセキュリティを語っていたら、偽善 とみなしてよい*8 ということだ。

*1 右クリッ クでプロパティを選べば確認することができる。

*2 右クリックでプロパティを選べば確認することができる。

*3 誰もこれまで話題にしなかったのは、Becky!ユーザのほとんどが HTMLメール なぞ使っていないということなのだろうか。

*4 したがって、今後、このステータ スバーを偽装する方法が見つかると、それは「脆弱性」と言えることになる。

*5 HTMLソースを見ればわかるが。

*6 11月にリリースされた Becky! 2.12では、このとき、 インターネットゾーンで開かれるように改善されている。

*7 このケースでは、 Becky! 2.11.02以前だと、リンクをクリックすると戻れなくなる (ジャンプ先がBecky!のウィンドウ内で表示されるため、右クリックで「戻る」 を押さないと戻れない)ためではないかと推察されるが、他にも理由があるの かもしれない。

*8 S/MIME署名されるようになったとかなら別だが。

本日のTrackBacks(全1件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20041204]
検索

<前の日記(2004年11月30日) 次の日記(2004年12月05日)> 最新 編集

最近のタイトル

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|
<前の日記(2004年11月30日) 次の日記(2004年12月05日)> 最新 編集