最新 追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 61   昨日: 3178

2005年08月01日

「セキュリティ屋」がセキュリティを駄目にした

先日のスパイウェア感染を招く指示が警察庁サイトなどに書かれていた話や それに類似の事案を多数見るにつけ、 いったいどうしてこんなことになってしまったんだと、 崩れおらずにはいられない。

そもそも、ActiveXコントロールを使うにあたってセキュリティ設定は変える 必要がない。初期設定のままで普通に動くからだ。 たとえばIBMの「らくらくWeb散策」の説明ページを見ても、次のように書かれ ている。

らくらくウェブ散策の動作環境

JavaScript、CSS(Cascading Style Sheets)、署名済みActiveXコントロールを 利用できるようになっている必要があります。(通常は既に利用でき るようになっています。)

お客様の安全に関わることといったら、事業者達にとって発言に慎重にならざ るを得ないはずだ。先日、東急ハンズにワイヤーロープを買いに行ったときの こと、端にループを作るための圧着金具の取り付けに専用工具の購入が必要か と尋ねたところ、「ここで圧着できますよ」と工具を取り出してくれたのだが、 それはあくまで自分でやれということなのだという。万が一のことがあっても 責任を取れないから、工具は貸すけども自分でやれというのだ。 IT以外の世界を見ると、いたるところで安全の理由から注意書きがある。 コンビニで「お〜いお茶」の取っ手付きペットボトルを買ったら、再利用するなと書かれている。 取っ手の耐久性を保証できないからなのだろう。客に危険な使い方を推奨しな がら説明もないなんてことが平然と行われているのは、IT業界だけだろう。

必要のないはずの設定変更の手順を、ご丁寧にも図解入りで解説するサイトが これほどまでに多いというのは、ActiveXコントロールを「無効にする」にし ていて「動かない」と苦情を言ってくる人が実際に多いから、説明せざるを得 ないということなのだろうか?

たしかに、ActiveXコントロールをひたすら「無効にする」に設定している人 はいるようだ。先日の日記へのトラックバックやリンク元の反応を見ても、 警察庁がActiveXコントロールを使わせていること自体を糾弾している勘違い な人たちが多数目につく。問題はそこではない。 「署名済みActiveXコントロールのダウンロード」の設定で署名確認をスキッ プさせているところに 問題があるのであって、ActiveXコントロールの使用自体の問題ではない。

「とりあえずActiveXは切っておけ」みたいな解説は巷に氾濫している(事例)。 そういう半可通な人が増えてしまった原因は、一時期のセキュリティ屋の言動 にあるのではないか。たとえば次の記事を見てみる。

  • もう 知らないでは済まされない! ネットワークセキュリティその全容と対策 AtoZ, 特別編 クライアントが危ない IEのセキュリティ設定, 日経 BizTechスペシャル

    ◆IE6のセキュリティ設定項目

    (略)…… (4)「署名済みActiveXコントロールのダウンロード」,(5)「未署名の ActiveXコントロールのダウンロード」の五つのセキュリティ・オプションが ある。これらのオプションは,すべて絶対に無効にすべきである。 前述の通り,ActiveXは悪用されやすい技術である。有効にしておい た場合のリスクは非常に大きい。

    (略)

    しかし,このような安全機能を回避し,ユーザに被害をもたらすモバイル・コー ドが出現する可能性は否定できない。AxtiveXを無効にすると,動きのあるビ ジュアルなコンテンツを閲覧できなくなるが,セキュリティを確保するために筆者はすべて無効にすることを推奨したい

たしかに、セキュリティホールが発覚すると、その回避策として、ActiveXコ ントロールをオフにすることや、アクティブスクリプト(JavaScriptやVBScript) をオフにすることが有効であることが少なくない。

私も、脆弱性を発見した際に、その危険性と対策を人々に伝える際に、 ActiveXをオフにするとか、アクティブスクリプトをオフにするとか、Javaを オフにする方法を示したことがある。だが、それはあくまでその脆弱性につい ての回避策なのであって、恒久的に「使うな」と言っているものではない。

現実にActiceXのオフで回避できる脆弱性が多数見つかっている状況では、 一般ユーザに対して「とりあえず切っとけ」と啓蒙するしかないというのかも しれないが、その結果、かえって危険な設定をさせるサイトを増やすことになっ てしまった。

脆弱性は修正すれば直るのであって、直ったら回避策は不要になる。啓蒙する ならまず Windows Updateを徹底させることが先だろう。その上で、パッチが 未リリースのときの一時的な回避策として、各機能をオフにすることを教える しかない。

重要なのはその区別を明確にして教えることである。正常な状態のときの話と、 異常事態の話を分けて説明する。それを理解して自己の判断でActiveXをオフ に設定した人たちは、ActiceXをオンにする必要が生じたとき、解説コンテン ツなどなくても自力で元に戻せるはずであり、また、自力で元に戻せなくなる ような設定変更の解説(安全側に倒す設定であってもだ)をするべきでない。 そうなっていたなら、設定を有効にするに変更せよなどと指示するような説明 は本当にいらなくなる。

この区別ができていないと、「利便性と安全性は相反する」などというチープ な発想で止まってしまう。そういう人たちが、「利便性のためには安全性の犠 牲もしかたないじゃないか」だとか、「セキュリティ屋は現実を無視している だけだ」などと考えて、警察庁などに 見られたActiceXコントロールを有効にする設定の指示を書いている のかもしれない。

あるいは、警察庁などに見られた事例は、それが危険な設定であるという認識がなかったため にやってしまったミスなのかもしれないが、そうした混乱が生じたのはなぜだ ろうか。「セキュリティ屋は非現実的なことばかりを言うが、みんな平気で使っ てるじゃないか」と考えたなら、「どんな設定に変更してもたいして危険じゃ ないはずだ」という誤った思考に陥るのも理解できなくもない。

いずれにせよ、「セキュリティ設定」という安全にかかわる指示をするにあたっ て、自分の言っていることの意味をたいしてわからないまま説明を書くなんて ことが、そもそもあり得ないことだ。

書き手に知識があるかないかは関係がない。「セキュリティの設定」という言 葉が理解できるなら理解して当然のことであり、それが理解できない企業や官 公庁があるということが異常な事態である。

こいういう愚かな行為は、見よう見まねで広がっていく。どこかで「設定を有 効にしてください」という説明を見たことのある人が、自分もそういう説明を 書くのが普通だと思ってしまう。こういうのは特に役所で広がりやすい。無断 リンク禁止教の拡大や、無意味なプライバシーポリシーのコピーと同じ構造だ。

こういうのは一度どこかが損害賠償訴訟でも起こされると、ササーっと変わっ ていくだろう。何も書かないのが正しい。

Google、読売新聞社、Mapion、Yahoo! JAPAN、ソフトバンク!BB、早稲田大学図書館、三洋電機、NEC、Oracle、マイクロソフトらがスパイウェア感染を招き金融被害をもたらしている可能性

Googleの指示がスパイウェア感染を招き金融被害をもたらしている可能性

  • GoogleツールバーFAQ

    Windows 2003 Server に Google ツールバーをインストールする方法を教えてください。

    • 次のオプションを有効にします。
      • 署名済み ActiveX コントロールのダウンロード

読売新聞社の指示がスパイウェア感染を招き……

  • YOMIURI ONLINE インストールに関する質問 : FAQ : ツールバー

    Q5 Windows Server 2003に ツールバーをインストールするにはどうすればよ いですか?

    A5 Windows Server 2003 (Internet Explorer のみ) にツールバーをインストールする手順は、以下の通りです。

    [署名済み ActiveX コントロールのインストール] 、[ActiveX コントロール とプラグインの実行]、[アクティブ スクリプト] を有効にし、[OK] をクリッ クします。

Mapionの指示がスパイウェア感染を……

  • マピオン ツールバー インストールヘルプ

    Q6.「ご利用規約」のページで「同意する」ボタンを押すと、次のようなアラートメッセージが表示される

    A.このメッセージは、(略)「スクリプトを実行しても安全だとマークされ ているActiveXコントロールのスクリプトの実行」および「署名済みActiveXコ ントロールのダウンロード」を共に有効にしてください。

Yahoo! JAPANの指示がスパイウェアを……

  • Yahoo! JAPAN, 2002 FIFA ワールドカップヘルプ

    各オプションを次のとおり設定します。

    1. ActiveXコントールとプラグイン:「署名済みActiveXコントロールのダウ ンロード」、「ActiveXコンとロールとプラグインの実行」、「スクリプトを 実行しても安全だとマークされている ActiveXコントロールのスクリプトの実 行」をそれぞれ「有効にする」に設定します。

ソフトバンクBBの指示がスパイウェアを……

  • Yahoo! BB 光 - 無線TVBOX簡単セットアップガイド

    Windows XP Service Pack 2をお使いの方へ

    「おてがるセットアップCD-ROM」のご使用前に、必ずActiveXコントロールに関する設定をご確認ください。設定の確認および変更方法は、次のとおりです。

    (4) 「ActiveXコントロールとプラグイン」(画面4)のなかの次の項目をす べて「有効にする」にチェックを付けてください。

    • ActiveXコントロールとプラグインの実行
    • スプリクトを実行しても安全だとマークされているActiveXコントロールのスプリクトの実行
    • 署名済みActiveXコントロールのダウンロード
  • プロ野球アニメーションLive - よくあるご質問

    Q1 アプリケーションがうまくインストールされません。

    A 本サービスをお楽しみいただくためには、ActiveXコントロールのダウンロー ド及びインストールを行っていただく必要があります。下記の説明をお読みに なってActiveXコントロールに関する設定のご確認をしていただき、変更が必 要な場合には作業をお願いいたします。

    • ActiveXコントロールとプラグインの実行
    • スクリプトを実行しても安全だとマークされているActiveXコントロールのスクリプトの実行
    • 署名済みActiveXコントロールのダウンロード

    の3項目に関して設定が「無効にする」になっていないか確認してください。そのなかのどれかの項目、または3項目ともに「無効にする」になっている場合は、3項目すべてを「有効にする」にチェックを付けて設定を変更してください。

早稲田大学図書館の指示が……

  • 早稲田大学図書館, データベースへの接続方法

    Q ActiveXコントロールの実行が許可されず、GOをしても何もおきない
    ActiveXコントロールを使用可能に変更する方法がわからない

    A 以下の項目を設定してください。

    • 【ActiveXコントロールとプラグイン】 ツリーの下の 【署名済み ActiveXコントロールのダウンロード】 を【無効にする】 以外に設定します。 推奨値は 【 ダイアログを表示する】。
    • 【ActiveXコントロールとプラグイン】 ツリーの下の 【未署名のActiveXコントロールのダウンロード】 を 【無効にする】 以外に設定します。 推奨値は 【ダイアログを表示する】。
    • 【ActiveXコントロールとプラグイン】 ツリーの下の 【スクリプトを実 行しても安全だとマークされていないActiveXコントロールの 初期化とスクリプトの実行】 を 【無効にする】 以外に設定します。 推奨値は 【有効にする】

ここの図書館員は「安全だとマークされていない」という日本語表現の意味さ えわからないのか。

ちなみにここのサイトで未署名のActiveXまで無効以外に設定しなくてはなら なくなっているのは、単に署名の有効期限が2004年1月1日で切れているための ようだ。

三洋電機の指示が……

  • 期間限定無料ダウンロー ドキャンペーンのご案内

    この度は、弊社「デジタルメモリプレーヤー」をお買い上げ頂き誠にありがと うございます。[SSP-PD10/20]をお買い上げの皆様に、音楽配信の体験をして いただけるコーナーです。

    (略)

    このMy Music Centerを使用するためには、以下の様に項目がセットされてい る必要があります。

    署名済みActiveXコントロールのダウンロード: 有効にする

NECの指示が……

  • NEC ソフトウェアリリースセンター ご利用時の注意事項

    (2)「セキュリティ」の画面でWebコンテンツのゾーンとして「インターネット」 を選択し、「レベルのカスタマイズ」をクリックします。

    以下の項目を「有効する」に変更します。

    • ActiveXコントロールとプラグインの実行
    • スクリプトを実行しても安全だとマークされているActiveXコントロールのスクリプトの実行
    • 署名済みActiveXコントロールのダウンロード
    (略)

Oracleの指示が……

  • Oracle Direct iSeminar:よくあるご質問

    Q Oracle Direct iSeminarへ正常に参加できません。

    A Internet Explorer のセキュリティの設定を確認します。

    「署名済みActiveXコントロールのダウンロード」を「ダイアログを表示する」 または「有効にする」にします。

マイクロソフトまでもが……

  • Windows確認アシスタントについてよく寄せられる質問

    [今すぐ確認] ボタンをクリックしましたが何も起きません。

    以下のことを確認してください。

    • インターネットに接続されており、オフライン作業になっていない。

    • Internet Explorer の設定で、署名済みの ActiveX コントロールのダウン ロードが有効になっている。 IE 6.0 の場合、[インターネットオプション] >> [セキュリティ] >> [レベル のカスタマイズ] >> [署名済み ActiveX コントロールのダウンロード] で設定できます。
  • Microsoft オンライン クラッシュ ダンプ解析サービス - FAQ

    3. [インターネット] アイコンをクリックしてから、[レベルのカスタマイズ] をクリックします。

    4. 以下の項目が [有効にする] または [ダイアログを表示する] に設定され ていることを確認します。

    • 署名済み ActiveX コントロールのダウンロード
    • ActiveX コントロールとプラグインの実行
    • スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行

茨城県、愛知県、和歌山県、愛媛県などの電子申請システム利用者がスパイウェア感染しやすい設定に変更している恐れ

茨城県愛知県和歌山県愛媛県などが、それぞれの電子申請システムの利用者にインストールを促している、「EUR Form Client」というソフトウェアのFAQのページには次の記述がある。

  • HITACHI: FAQ(回答): EUR Form Client
    Q1. EUR Form Clientをインストール(ダウンロード)できません。

    Internet Explorerをお使いの場合、Internet Explorerのセキュリティの設定によりCABファイルのダウンロードが抑止されている場合は、EUR Form Clientのインストール(ダウンロード)は行われません。以下の手順でInternet Explorerの設定を確認してください。

    3. [セキュリティ]タブで、Webコンテンツのゾーンとしてインターネットゾー ンを選択し、[レベルのカスタマイズ]ボタンをクリックする。

    4. [セキュリティの設定]ダイアログで、[署名済みActiveXコントロールの ダウンロード]の設定を確認する。

    [署名済み ActiveXコントロールのダウンロード]が「無効にする」に設定さ れている場合、EUR Form Clientのインストールは行われません。「有効にす る」または「ダイアログを表示する」に設定を変更した後、 再度 EUR Form Clientのインストールを行ってください。

(次回予定: Windows XP SP2の場合)

本日のリンク元 TrackBacks(100)

2005年08月02日

ActiveXをやめてセキュリティを後退させてしまったWebUD

4月のJVN#A7DA6818 「WebUD における任意のプログラムが実行される脆弱性」は、7月に 発表されたIPAの定例発表資料の以下の記述によると、ベンダー自身によ る届出だったそうだ。

≪「WebUD」における任意のプログラムが実行される脆弱性≫(項番4)は、製品開発者自身から脆弱性およびその対策情報の連絡を受けたものです。

なるほど、対処方法などの説明がずいぶん出来栄えよいなと思った(たとえば 「『信頼された発行元』から削除」の手順を忘れなかったことなど) *1のだったが、そういうことだったのか。 当時は、asahi.com などでは一旦ダウンロードを中止していた。

その中止されたダウンロードが7月になって再開された。

現在の配布ページを見に行ってみると、「WebUDsetup.exe」というインストーラ プログラムの配布という形式になっている。 以前は署名済みActiveXコントロールによる自動インストールだったはずだが、 それをやめて、.exe ファイルの配布という方式に変わったようだ。

これは、「ActiveXは危ない」という認識からだろうか……?

ところが、7月から配布されている「WebUDsetup.exe」にはデジタル署名がない。

「インストール手順」の説明にも書かれていないが、 これを Windows XP SP2 の Internet Explorerでダウンロードして WebUDsetup.exe をダブルクリックすると、図1の警告が現れるはずだ。

図1: WebUDsetup.exeをIEでダウンロードしてダブル クリックした様子

アイコンが赤く「×」になっており、「発行元を検証できる有効なデジタル 署名がありません」とある。

ActiceXコントロールの場合には、一部の事業者が、未署名のものを配布して、 閲覧者に危ない設定(未署名のActiveXコントロールを有効にする)に変更さ せようとしたことがあったが、それは稀であり、それがよくないことだという のは誰でも理解できるところだろう。

しかし、.exe ファイルをダウンロードさせてインストールさせる場合には、 デジタル署名をしない事業者がかなり多い。

未署名のActiceXコントロールを配布してしまったところは、何らかの理由で 証明書を取得できなかった(しようとしなかった)ためだろう。証明書を買う お金がないとか、証明書を買うための社内手続きが整備できていないとか。

だが、以前のWebUDには既に「FUJITSU LIMITED」のデジタル署名が施されてい たのであり、証明書は手元にあるはずではないか。署名しない理由がない。

実行ファイルの改竄攻撃(通信路上での改竄や、配布元コンテンツの改竄) に対する安全性という点では、WebUDは、理由もなくセキュリティレベルを後 退させてしまったことになる。

ちなみに、もしデジタル署名された .exe ファイルであればどうかというと、 ユーザがWindows XPの SP2を使用していて、かつ、ダウンロードに InternetExplorerを使うという前提が成立するならば、ActiceXコントロール による配布より安全性は高まったといえる。ただし、その前提が成り立たない 場合には、ダブルクリックしたときに図1の警告が出ないので、ダウンロード した .exe ファイルのデジタル署名をユーザが確認しないで起動してしまう可 能性が高く、改竄攻撃に対してという意味では、むしろActiceXコントロール の方が安全だといえる。

どんなにセキュリティ機能を追加してもそれを設定で殺させる虫が湧いてくる

スパイウェアがActiveXコントロールの形で配布されるという現実に対して、 Microsoftがその危険性を認め、改善として打ち出した回答が、Windows XP SP2からセキュリティ設定に追加された「ActiveXコントロールに対して自動的 にダイアログを表示」という設定項目だ。

この項目はデフォルトで「無効にする」に設定されており、「無効にする」の ときに安全機能が働く。「無効にする」にすると機能が働くという、ひねくれ た命名になっているので、ここで混乱してはいけない*2

この項目が「無効にする」になっていれば、署名済みActiveXコントロールを インストールさせる画面にアクセスしたとき、図2のように、画面上部の黄色 い部分(「情報バー」と呼ばれる)が現れるようになっている。

図2: ActiveXコントロールをインストールさせるページで「情報バー」が現れた様子

ここには次のなどように書かれている。

以前のサイトには*3、 次の ActiveX コントロールが必要な可能性があります: 'Microsoft Corporation' からの 'Office Update'。インストールするには、 ここをクリックしてください...

ここで言われたとおりにクリックすると、図3のメニューが現れる。

図3: 情報バーをクリックすると現れるメニュー

ここで、「ActiveXコントロールのインストール」を選ぶと、図4の確認画面が 現れる。

図4: 署名済みActiveXコントロールの確認警告

この図4の「セキュリティの警告」のダイアログウィンドウは、Windows XP SP2 で初めて目にするデザインのものになっているが、役割や機能は、 Windows 98のころからWindows XP SP1 までに存在していて見慣れてきた図5の ものに相当する。セキュリティ設定で「署名済みActiveXコントロールのダウ ンロード」を「ダイアログを表示」とするときの、「ダイアログ」とはこれら のことだ。

図5: 旧来の確認警告

SP2では、図3のステップと図4のステップがあるため、インストールしたい場 面では、2つの「インストール」というボタンをそれぞれ押さないといけなく なった。これを「単なる二度手間じゃないか」と考えるのは早計である。

図4(や図5)のウィンドウはダイアログウィンドウであるため、いずれかのボ タンを押すまで、他の作業が続行できなくなる。つまり、Webページの閲覧を 続けるとか、戻るボタンを押すだとか、別のページへ移動するということがで きない。それに対し、図2の「情報バー」では、表示されていてもそのまま作 業を続行できる。危ないサイトだと感じたら、そのまま別のページへ移動して 立ち去ることができる。

悪意あるActiveXコントロールを用いたスパイウェア等の攻撃では、図5のダイ アログウィンドウを繰り返し表示させるというものがあった。つまり、「いい え」ボタンを押しても、また同じダイアログが現れ、「いいえ」を押しても押 しても止まらないという攻撃だった。ひとたび悪意あるWebページを表示して しまうと、その罠から容易には抜けられず、手が滑って「はい」を押してしま いかねないというものだった。

それが、SP2で導入された「情報バー」によって、そうした攻撃は回避される ようになった。なぜなら、罠ページにアクセスしただけでは攻撃は発動せず、 閲覧者が自分の意思でメニューを表示させて「ActiveXコントロールのインス トール」を選ばない限り、その攻撃は開始されない。

このように、この「情報バー」は、有効なセキュリティ向上効果をもたらして いる。ようするに、ようやくMicrosoftが、ActiveXコントロールインストール 機能のユーザインターフェイスをまともなものに改善することができたものだ。

ところがである。早くもこの機能を殺す設定をユーザに指示する輩が登場して きているのである。「ActiveXコントロールに対して自動的にダイアログを表 示」を「有効にする」に設定変更するということは、「自動的にダイアログを 表示」することになる、つまり、Windows XP SP1以前と同じ動作に逆戻りになっ てしまう。

  • 徳島県 電子申請システム, Windows XP Service Pack 2をご利用の場合

    お使いのパソコンのOSがWindows XP SP2(Service Pack 2)の場合、以下の設定を行ってください。

    (5)(4)の操作後、画面をスクロールさせ「アクティブXコント ロールに対して自動的にダイアログを表示」項目の「有効にする」にチェック をいれます。

    なぜそんな設定が必要なのか?

  • 福島県 市町村共同電子申請システム, Windows XP SP2をお使いの方へ

    (略)そのためシステムをご利用いただくためには、

    • ポップアップブロックを無効にする
    • 「ファイルのダウンロード時に自動的にダイアログを表示」を有効にする
    • 「ActiveXコントロールに対して自動的にダイアログを表示」を有効にする
    必要があります。下記の手順にしたがって、利用されるパソコンの 設定を行ってください。

    (略)

    「ActiveXコントロールとプラグイン」の設定に
    「ActiveXコントロールに対して自動的にダイアログを表示」
    があります。
    「有効にする」
    にチェックをします。

    おまえは本当にその設定が必要なものだと確認したのか? と。

  • 富山県電子入札システム, FAQ(よくある質問)

    A5 使用するパソコンのOSがwindowsXPの場合、設定変更が必要だと聞きま したが、どうすればよいのですか?

    WindowsXP SP2(ServicePack2)でインターネットエクスプローラを利用してい らっしゃる場合は、電子申請、電子入札に際しては、以下の設定をお願いしま す。

    (2)セキュリティ設定

    (エ)[ActiveXコントロールに対して自動的にダイアログを表示]を「有効 にする」に設定します。

    そんな質問が本当に「よくある質問」なのか?

  • 横浜市 電子申請サービス, WindowsXP Service Pack2の設定

    「ActiveXコントロールに対して自動的にダイアログを表示」を 「有効にする」にチェックをします。

    どこからそのフレーズをコピーしてきたんだ?

  • Yahoo! JAPAN Chat, 「Java」「JavaScript」「ActiveX」を有効にするには(Java版 ・DHTML版の場合)

    (2) [ActiveXコントロールとプラグイン]項目の[ActiveXコントロールとプラ グインの実行]、[ActiveXコントロールに対して自動的にダイアログ を表示]、[スクリプトを実行しても安全だとマークされている ActiveXコントロールの初期化とスクリプトの実行]で、それぞれ[有効にする] にチェックを入れます

    なんでもかんでもぜーんぶとりあえず「有効にする」にしとけばいいと?

  • UFJ銀行, Windows XP Service Pack2をインストールされたお客さまへ

    2004年9月2日Microsoft社より提供開始された「Windows XP Service Pack2」 のセキュリティ強化機能の中にActiveX コントロール (*)のインストールの 抑制やポップアップのブロック、自動ダウンロードを一時的に停止させるといっ た機能が追加されています。

    「Windows XP Service Pack2」が適用されたパソコンでMicrosoft Internet Explorerのセキュリティの設定やポップアップフィルタレベルの設定内容によっ ては、U-LINE Web の一部機能が動作しない事象が発生しますので 下記内容をご確認のうえ、ご利用いただきますようお願いいたします。

    (略)

    「セキュリティの設定」ウィンドウの「設定(S)」の中から「ActiveX コント ロールに対して自動的にダイアログを表示」を「有効にする」に設定します

ここに挙がった人たちは先進的な人たちだ。まだこれを書いているところは少 ないようだ。

UFJ銀行が言うには、この設定をしないと「一部機能が動作しない事象が発生 します」というのだが、それは事実無根だろう。なぜなら、図2のところで、 情報バーをクリックしてメニューを出し、「ActiveXコントロールのインストー ル」を選べば、ちゃんとインストールできるのだから。

これを書いた人たちは、黄色い情報バーに書かれている「インストー ルするには、ここをクリックしてください」という文章が目に入ら ないのか? 最初の1行を読んだところでもう脳が固まってしまったのというか?

こういう人たちが居なくならない限り、どうやっても安全にはならない。

はっきり言う。あなた方はもうこの仕事をしないでくれないか。何も書くな。

まだ「先進的」でない他の人たちにも言う。こういうのを真似しようとするな。 「サイトを立ち上げたらとりあえず、必要な設定方法を書かないとね」などと いった愚かな習慣を忘れろ。セキュリティの設定について何も書くな。何も書 く必要がない。それが正解だ。書く必要があるような状況の方が誤っているの だ。書けば害になるだけだ。既に書いたものがあるなら全部消してくれ。「間 違ってました」と書かなくてもいいから、とにかく消せ。

*1 「不具合」と称していた問題を除いて。

*2 どうしてこう、 Microsoftはセンスのない名前付けをするのだろうかという話は、もはや口に する気さえしない。

*3 「以前のサイトには」って……、あいもかわらず マイクロソフトの翻訳は……本当に人が翻訳してるのかと疑いたくなる。 いっそ「ここにかちりと鳴らしなさい」にしたらどうか。

本日のリンク元 TrackBacks(100)

2005年08月03日

「スパウェアデザインコンテスト」受賞作品

「スパウェアデザインコンテスト」受賞作品[toray.co.jp] が発表されていた。

本日のリンク元 TrackBacks(2)

2005年08月05日

滋賀県浅井町の温泉施設にフィッシングサイト

中日新聞にこんな記事が出ていた。

追記(8月13日)

上のリンク先が消えていた。そこには次のような内容の記事があった。

フィッシングサイトは延長約二百メートルで、草野川漁業協同組合がニジマスを放流する。営業時間は午前十時から午後五時までで、釣った魚は河原で焼いて食べることもできる。

温泉施設近くの草野川にフィッシングサイト 浅井町, 中日新聞2005年7月20日

本日のリンク元 TrackBacks(78)

2005年08月12日

フィッシング対策協議会のサイトが右クリック禁止を実施

AntiPhishingJapan フィッシング対策 協議会 [antiphishing.jp] のサイトを訪れたところ、どのページに行っ ても、右クリックでメニューが現れない。

<body oncontextmenu="return false">

アホですか。曰く、

フィッシングサイトではないとの確認方法 その2 銀行のインターネットバンキングの画面を表示すると“錠前”のアイコンがブラウザの下のバーに表示されます。この錠前が表示されている場合には“確かに「名無し銀行」です”と証明している証拠です。しかし、錠前が表示されない場合には面倒ですが、画面の何も無い部分へマウスポインタ(画面の矢印)を乗せ Windowsパソコンの場合は右クリックを行い、メニューを表示させ“証明書を確認する”を選択します。
図1: フィッシングサイトではないとの確認方法, フィッシング対策協議会(原寸大)

だそうだ。

文字が豆粒サイズ。誰がこんなのを読むのか。

図2: フィッシング対策協議会の画面(原寸大)

文字潰れを起こしていて読めない。

フィッシング とは」の図解ページなんかは、図に書かれた文章からして文字が米粒大に なっている。

パッと見で勝負。中身は読んでもらう必要なし。

という方針で作られているのだろう。

「常に新しい」新銀行東京は時代に取り残されていた

「都民になったことだし、新銀行東京*1 に口座でも作るか」 とサイトを訪れてみたところ、なんと、インターネット バンキングのログイン画面は、 アドレスバーを隠したポップアップウィンドウになっていた。

古いシステムを今から作り直すお金がないというのならわかるが、今年新たに 開業した銀行がのっけからフィッシング詐欺の基礎対策をしないというのは、 わけがわからない。いったいどこの業者が作ったのだろうか。

しかも「右クリックは禁止です」と得意げだ。

図3: 新銀行東京のログイン画面で右クリックした様子

いまどきの若者風に言えば「新銀行ヤバいです」といったところか*2。 やはり口座を作らねば。

一方、三井住友銀行が「三井 住友銀行アクセシビリティガイドライン」というものを公開していた。 ここには注目すべき項目がある。

すばらしい*3

項目一覧表の記述によれば、この第13項は「関連するJIS」が「なし」となっており、 JIS X8341-3 にも、右クリック禁止にしないとかアドレスバーを消したりしな いといった考え方は存在しないらしい。

*1 キャッチフレーズは「常に新しい銀行」。

*2 「ご利用環境について」を見ると、対象ブラウザがIEの他は「Netscape Communicator 4.75/4.78」 になっているところが常に新しい銀行だ。ヤバい。

*3 しかしなぜか、このガイドラインのページの文字サイズは わざわざ縮小設定されている。(読めない程ではないが。)

本日のリンク元 TrackBacks(5)

2005年08月23日

フィッシングサイトが8月17日で閉鎖

フィッシングサイト [fishing-site.com] が8月17日で閉鎖になっていた。

この度、釣具・釣り用品の通信販売としてご愛顧いただきましたフィッシングサイトは、 2005年8月17日をもちまして閉店させていただく運びとなりました。

まさか、名前が悪いと言われて閉鎖……なんてことはなかろうとは思うが。

携帯電話の「フルブラウザ」は何を約束する言葉か

職場では隣の席にいる大岩さんの、自宅の日記 で、携帯電話のいわゆる「フルブラウザ」の https:// 対応の話が書かれ ていた。

携帯電話の世界では、一般的に言って、セキュリティに標準として求められる 仕様があまり明確になっていないという状況がある。携帯電話のWebブラウザ がSSL対応したのは比較的最近のこと(といってもDoCoMoではもう4年前)だか ら、全員がSSL対応電話を使っているとは限らないと言うことができてしまう。

いわゆる公式サイトであれば電話会社から専用回線で通信しているので(全部 がそうかは知らないが)、SSLによる暗号化があまり必要でないというのが、 かつての考え方だったのかもしれない。SSL非対応電話で「非公式サイト」に 接続するのは安全でないという主張に対して、携帯電話会社ならたぶんこう答 えるだろう。「非公式サイトへのアクセスはお客様の自己責任ですので」と。

非公式サイトの閲覧はたまたまできるにすぎないのであって、電話機の機能で はないと言い張ることはできてしまう。これは、セキュリティ以前に、そもそ も単に閲覧することさえままならない程度の代物だったので、ユーザ側もその ことを承知の上で、それでもなお使いたいときがあるから使ってきたという、 暗黙の合意ができていたのだと思われる。

そこへきて「フルブラウザ」の登場である。 その言葉が何を意味するものかを明確に記した公式文書があるかどうかわから ないところだが、

といった記事が出始めた現在では、一般の消費者感覚では、「フルブラウザ」 と銘打たれているものは PCと同等のものとして理解されるであろう。

となると、もはや「非公式サイトの閲覧は保証外です」と言ってはいけないは ずである。

たしかに、かねてより、携帯電話から使わせるのを意図して作られたネットショッ プで、SSLが使われていないことはよくあることだった。そのサイトのサーバ が、インターネット経由で電話会社と接続しているなら、盗聴される危険はこ れまでもあったわけだが、そのショップはそれを承知でサービスを提供してい たとも言える。

しかし、PCで使われることを想定しているネットショップで、https:// のペー ジでサービスが提供されているならば、それを無視してはいけない(暗号化な しで https:// ページへ接続してはいけない)だろう。

銀行のPC向けサイトなどが、「SSLに対応していないブラウザは使用しないで ください」といった注意書きをしていることがあるが、まさに、暗号化しない での https:// 接続を許すようなフルブラウザは、「使わないでください」と いうことになる。

Wikipediaの「フルブラウザ」の「アプリブラウザの機能比較」表には、「SSL」が「○」と書かれている部分があるが、 こうした表を作るときには、 当該ブラウザのベンダーが「SSLを使用したサイトはご利用いただけますが、携帯電話と弊社サーバ間は暗号化されません。」 としているものについて「○」としないよう、注意が必要だ。

本日のリンク元 TrackBacks(5)

最新 追記

最近のタイトル

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|
最新 追記