<前の日記(2005年07月19日) 次の日記(2005年08月01日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 3458   昨日: 5551

2005年07月22日

警察庁の指示がスパイウェア感染を招き金融被害をもたらしている可能性

最近、必要もなくやたら文字を小さく表示させるWebサイトが増えている。 官公庁も例外ではない。そのくせ、「文字を大きくするには」などという案内 を用意して、曰く、「アクセシビリティ」なのだという。アホかおまえら。 作っていておかしいと思わないのだろうか。もしかすると彼らは、文字を大き くするブラウザ設定で作業しているのかもしれない。だから自分のページでは、 文字を少し小さく作りたくなるのだろう。すると、そこを閲覧する人がまた少 しブラウザの文字サイズを大きくする。そして、そこが作るページはさらにま た少し小さい文字となり、そこを閲覧する人がまた少しブラウザの文字サイズ を大きくする。つまり、文字サイズのデフレスパイラルに陥っているわけだ。 一度地獄まで落ちたらよい。

たとえば、最近リニューアルされた警察庁のトップページが特に酷い。図1は Firefoxで文字サイズ標準で表示したときの様子である。

図1: 警察庁トップページの一部(原寸大)

読めない。

こんなアクセスビリティの悪いサイト作りが官公庁に許されるはずもないわけ で、右上を見ると「音声読み上げ・文字拡大はこちら」と書かれている(図2)。

図2: 警察庁が「音声読み上げ・文字拡大はこちら」と案内している様子

そして、この「音声読み上げ・文字拡大はこちら」のリンク先に何があるかというと、 図3のようになっている。

図3: 警察庁がActiveXコントロールをインストールさせている様子

その下を見ると次のように書かれている。

動作環境

(略)

ブラウザで、JavaScriptの実行が有効になっていること。
ブラウザで、Cookieの使用許可が有効になっていること。
ブラウザで、署名付きActiveXの実行が有効になっていること。

そして、「ブラウザの設定方法」というところに、「署名付きActiveXの実行 を有効にする方法」という説明がある。そのリンク先は図4の ようになっている。

図4: 警察庁が署名ActiveXコントロールを「有効」に設定せよと指示している様子

「署名済みActiveXコントロールのダウンロード」のデフォルト設定は「ダイ アログを表示する」である。このときのダイアログとは、ActiveXのデジタル 署名の署名者名を確認して、信用できる発行者によって作られたものかを確認 するという、図3の画面の図にあるステップのことだ。

ここの設定が「有効」になっていると、どんな発行者によるActiveXコントロー ルであっても、確認なしに自動的にインストール、実行されてしまう。つまり、 気付かないうちにスパイウェアに感染し放題という状態になってしまうわけだ。

ちょうど一昨日、内閣官房から「夏休み期間にお ける情報セキュリティにかかる注意喚起 〜 フィッシングやスパイウエアへの 対応について 〜」という報道発表が出ていたところだ。そこには図5のよ うに書かれている。

図5, 内閣官房, 警察庁, 金融庁, 総務省, 経済産業省, 「夏休み期間における情報セキュリティにかかる注意喚起 〜 フィッシングやスパイウエアへの対応について 〜」の5ページ目より

「十分な対策を講じていない場合」とある。そのとおりだ。「十分な対策」と は、ウイルス対策ソフトを入れることではあるまい*1。本来、「対策」など という、追加の処置をしていなくても、「サイトを閲覧するだけでスパイウェ アをインストールされる」などということがあってはならない。起きるとした ら何らかの欠陥があるということだ。つまりここで言う「対策」とは、1ペー ジ目に書かれている「OSをアップデートし常に最新の状態にする」のことをわ かりやすく言っているのだろう。

だが、警察庁の指示通りに「署名済みActiveXコントロール」の設定を「有効 にする」に設定している人は、いくらWindows Updateをしていても、「サイト を閲覧するだけでスパイウェアをインストールされる」ことになる。当然、ウ イルス対策ソフトも効かない。

昨年7月24日の日記にも書いていたように、警察庁と同じ方法で大穴を開けさせている ところは、昔からたびたび見つかっている。であるから、今、注意喚起として 本当に有効で必須のことは、

あなたのセキュリティ設定は間違ったものに変えさせられていませんか?

と、今一度確認させることだ。だが、内閣官房の「夏休み注意喚起」もこのこ とを教えてくれなかった。

もう何年も前から何回も何回も何回も何回もこの問題を言ってきたが、今時分 になって警察庁までもがこのありさまというのは、どうしたことか。悪いのは 業者ということなのだろうが、この事態を防止するには、もう、セキュリティ ポリシーやらでこういう行為を禁止するよう明文化しておくしかないだろう。 聞くところによれば、各官公庁は情報セキュリティポリシーを作るところまで はまず達成したのだそうだが、こういう禁止行為は明文化されているだろうか。

さて、警察庁が今果たさなければならない義務はこうだろう。まず、 http://www.npa.go.jp/zsmd/html/index.html のページを見たすべての 人に対して、設定を見直すように呼びかける必要がある。このとき、なぜその ような呼びかけをするのかの理由として、間違った危険な設定を指示をしてい たことを説明する必要があるだろう。すべての人に対して呼びかけることは、 当該ページに掲載するだけでは達成できないであろうから、少なくとも npa.go.jp トップページへの掲載が必要。それでも無理だとなれば報道発表で 国民に周知するしかなかろう。

他にも問題がある*2。図3の説明も有害である。

起動中に以下のようなセキュリティ警告が表示された場合は、「はい(Y)」ボ タンをクリックしてください。

とあるが、何も考えずに「はい」を押す行動を習慣付けている。ここで重要な ことは、「Hitachi Government & Public Corporation System Engineering Ltd.」とは何なのかを理解*3して、 信用できるかを閲覧者が自ら判断しなくてはならないということだ。この習慣 付けなくしては、スパイウェア対策にならない。

つまり、日立公共システムエンジニアリング株式会社の製品を使ってアクセスビリティ機能を実現している のだということを、警察庁自身が説明しないといけない。なぜなら、警察庁 サイトの閲覧者は警察庁を信じて閲覧に来ているのだから。

だが、「音声読み上げ・文字拡大はこちら」のページのどこにも、そのこと (配布主体が誰なのか)は書かれていない。そればかりか、配布主体について 次のように書かれている。

■免責事項

「ZoomSight」の利用により、直接的あるいは間接的になんらかの損害が発生 した場合でも、警察庁は、一切の責任を負いませんので、予めご了承ください。

追記

日立公共システムエンジニアリングの、Zoom Sightのページを見に行くと、どうやらこの製品は多数の官公庁に導入さ れているようだ。まさか……と嫌な予感がしつつ「署名付きActiveXの実行を有効に」で検索などしてみたところ、 汚染がかなり広がっているようだ。

嗚呼、糞業者!!

追記(7月25日)

検索のキーワードを変えてみたところ、他にもいくつか見つかった。

*1 ウイルス対策ソフ トなんぞ、スパイウェア対策にならないのだから。

*2 さらに言えば、「Cookieの使用許可を有効にする方法」の指示も間違っている。この指示は、デフォルト 設定よりプライバシーレベルを下げさせている。

*3 ほんとうは、この警告ダイアログの「名前 : ZoomSight」の部分が、メーカーのこの製品の説明ページへのリンクになっ ていないといけないのだが、このメーカーはそれもやっていない。

本日のTrackBacks(全33件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20050722]

◆[http://takagi-hiromitsu.jp/diary/20050722.html:title] もはや、インターネット上では知識の無い人間には警察庁のページですら脅威、ということです。。。

産業技術総合研究所の高木氏のブログより。 警察庁の指示がスパイウェア感染を招き金融被害をもたらして...

えーと、うーむ‥‥「高木浩光@自宅の日記」はんの記事の7月22日付けの、■ 警察庁の指示がスパイウェア感染を招き金融被害をもたらしている可能性についてなんやけどね。まぁ、確かに上記blogを見て貰えば問...

確かに警察庁は豆字 &amp; 1024x768 フルスクリーン表示前提の劣悪サイトだし、豆字で表示しておいて「大きくするには」とは笑ってしまうが、 もしかすると彼らは、文字を大きくするブラウザ設定で作業しているのかもしれない。 (中略) つまり、文字サイズのデフレスパイ..

警察庁の指示がスパイウェア感染を招き金融被害をもたらしている可能性(高木浩光@自宅の日記) http://takagi-hiromitsu.jp/diary/20050722.html ある視覚障害者の施設のPCが調子が悪いと言う話なので調べてみたらスパイウェアだらけ…という話も聞きます。 そこではPCはWin..

署名済みActiveXコントロールのダウンロードを「有効」にすることの問題点を知らんのか!>警察庁 まあ、どこかのIT屋さんが...「署名済みActiveXコントロールのダウンロード」のデフォルト設定は「ダイアログを表示する」である。このときのダイアログとは、ActiveXのデ..

警察庁の指示がスパイウェア感染を招き金融被害をもたらしている可能性"という記事。

元ネタはK2さん経由で「警察庁の指示がスパイウェア感染を招き金融被害をもたらしている可能性」 私自身は特に文字が小さいとは思いません。まぁ、小さい字を見慣れたという話もありますが。 で、私が今回警察庁のウェブサイトで突っ込みたいのはこの件ではなく、このペ..

 「最近の気になった記事&ニュース」と言っても、例のごとくセキュリティを中心にし

こんな話がある。

●警察庁の指示がスパイウェア感染を招き金融被害をもたらしている可能性

これはちょっとどころか、
えっ本気か?ってな感じだ。

どうする?
どうする?

警察がこれではどうしたらいい?

専門家が作成しているのかなぁ、この情報は……。

よくオンラインバンクやポートレート系の写真サイトに行くと、うまく利用できないときはInternet Explorerのセキュリティレベルを「中低」にしてくれとか、セキュリティソフトのレベル

検索

<前の日記(2005年07月19日) 次の日記(2005年08月01日)> 最新 編集

最近のタイトル

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
<前の日記(2005年07月19日) 次の日記(2005年08月01日)> 最新 編集