2005年12月05日
■ リダイレクタの存在は脆弱性か?
星澤さんの2日の日記 に出ていた件、ITmediaにも記事が出ており、次のように要点が書かれている。
このフィッシングメールは、571.94ドルの税金還付を受けるためにIRSのサイ トで手続きをするようにと受信者に伝えている。より本物らしく見せるため、 このメールはメール内のURLを直接クリックするのではなく、ブラウザのアド レスバーにコピー&ペーストするよう指示している。このURLは本物 の IRSサイトのドメイン名を使っているが、このサイトの設定ミスのために、 フィッシング詐欺犯が設置した偽のサイトにリダイレクトされてしまう。 (略)
「これは典型的なフィッシングよりも高度だ。URLが――最初は――本物のサイトにつながるからだ」とSophosのセキュリティコンサルタント、 グラハム・クルーリー氏は語る。
政府サイトの設定ミスを突いたフィッシング, ITmediaニュース, 2005年12月1日
この問題は、広く信頼されているドメイン名のサイト上に、「リダイレクタ」 (任意のURLへ自動ジャンプさせるCGIプログラム)が存在する場合、攻撃者が 被害者に見せるURLのドメイン名がその信頼されたドメイン名であっても、最 終的なアクセス先は、攻撃者が指定する任意のサイトとなってしまうというも のだ。たとえば、
http://example.go.jp/redirect?url=http://phisher.example.com/
というURLを見せられたときに、「go.jpのサイトだな」と信用してアクセスし ても、最終的に表示される画面は「phisher」のページとなるということだ。 (後ろの方の怪しげなURLは「%」エンコードでわかりにくくすることができる。)
問題を指摘したSophosは、これを「明らかなセキュリティ上の設定エラーが IRS の正規 Web サイト上にあり」と位置づけたとされて いるが、さて、これは本当に脆弱性として扱うべき(修正されるべき)ものだ ろうか。
まず、本当に「設定」で回避することができるのか。リダイレクタの大半は、 任意のサイトへのリダイレクトを目的としている。その場合、このような悪用 をされないようにするには、Refererをチェックするしかない。Refererが空の 場合は、機能しないようにする必要があるので、Refererの送出を止める設定 のブラウザを使用している閲覧者は、そのリダイレクタ経由でのリンクを使え なくなってしまう。
リダイレクタ自体が不要だということは、多くの場合に言えるかもしれない。 大して必要でもないのに、閲覧者のアクセス動向を探る(どのリンクをクリッ クして外部サイトにジャンプしたかの記録をとる)ために安易にリダイレクタ を設けているサイトも少なくないかもしれない。
だが、本当にリダイレクタが必要な場合はどうすればよいだろうか。
「リダイレクタの存在は脆弱性ではない」という見方もできる。
ちょうど先日、JNSAのフォーラムで「安全なWeb利用の鉄則」という講演をし てきた。これは以下にレポートされている。
- シンプルな安全確認ルールとそれに則ったサイト作りを〜産総研高木氏講演, INTERNET Watch, 2005年12月2日
この講演の要旨は、利用者の自衛手段となる「鉄則」を明確にし、利用者とサ イト運営者の責任分界点を明確にすることが必要であるとするものであるが、 その「鉄則」は簡潔でなければならず、過剰な手順を教えるのは誤りであると いうことを主張している。
結論として挙げた鉄則は以下である。(スパイウェアに感染していないことを 前提とした場合。)(Webブラウザに脆弱性がないことを前提とした場合。)
つまり、利用者の簡潔な鉄則は、情報を入力する直前で今見ている画面を確認 することである。
ジャンプ前にジャンプ先が信用できるサイトかどうかを確認する方法がダメな 理由は、情報の入力にSSLの使用を前提としている場合、最初に確認した信頼 できるサイトから入力画面に到達するまでに辿ったページに一つでもSSLを使 用していないページがあったなら、そこでパケット改竄されて、違うところへ 飛ばされている可能性があるので、ジャンプ前では確認にならないからだ。
SSLを使用しない場合であっても、複数のリンクを辿っていく場合、常に信用 できるところを辿っているか確認する意識を継続しないといけないのだから、 あまり現実的な方法ではない。
このような利用の鉄則が周知されていれば、リダイレクタがどこにあろうと問 題ではなくなる。
とはいえ、「利用者への周知など無理だ」という理由から、「無用なリダイレ クタは排除した方がよい」ということも言えるのだろう。しかし、そうすると、 すべての著名サイトはリダイレクタを設けてはならないということになってし まう。
選択肢は、次の二つ。
- リダイレクタは脆弱性ではないと考え、利用者が入力時確認を徹底する。
- すべてのリダイレクタの存在は脆弱性であるということにして、リダイ レクタを設けたいときは、信用性の低いドメイン名を使うか、数値形式のIPア ドレス(ホスト名でアクセスできない)を使った別サーバに設置する。
リダイレクタを撲滅させたいがために、リダイレクタ設置者の責任を追及する あまり、利用者の本来なすべき確認手順の周知をおろそかにするということが 起きがちだ。いずれにせよ、簡潔な利用の鉄則の周知を怠らないべきである。
ところで、携帯電話にはアドレスバーがないので、この鉄則は携帯電話のWeb ブラウザには適用できない。携帯電話では、ジャンプ前(メールからURLにジャ ンプするときや、QRコードで読み取ったURLにジャンプするとき)で確認する しかない。
ということは、アドレスバーのない携帯電話では、リダイレクタがあってはな らない(もしくは、リダイレクト時に携帯電話のブラウザが確認画面を出す必 要がある)ことになる。
と、書いてみたが、同じことは去年4月28日の日記に書いていた。
{{{: 任意のサイトへのリダイレクトを目的としている。その場合、このような悪用をされないようにするには、Refererをチェックするしかない。Refererが空の場合は、機能しないようにする必要があるので、Refererの送出を止める設定のブラウザを使用している閲覧者は、その..
高木浩光氏のブログ「高木浩光@自宅の日記」のエントリ「リダイレクタの存在は脆弱性か?」に便乗。 広く信頼されているドメイン名のサイト上に、「リダイレクタ」(任意のURLへ自動ジャンプさせるCGIプログラム)が存在する場合、攻撃者が被害者に見せるURLのドメイン名..
リダイレクタの存在は脆弱性か?(高木浩光@自宅の日記2005年12月5日)を読んで、関係があるような無いようなことをちょっと書こうと思う。 このようなリダイレクトページが適切に作成されていれば問題は無いのだが、リダイレクトを行うページがしばしば例に出される脆弱..
[リダイレクタの存在は脆弱性か?] リンク先の最終アクセスページでURLを確認する、と言うのは当然なのでまぁ置いておく。リダイレクトするサーバ側に実際のURLを事前登録しておいて、リダイレクト時に Hashmap を利用してジャンプの有無を決めれば宜しいのではないかなと。..
リダイレクタの存在は脆弱性か? (高木浩光@自宅の日記) 等で、リダイレクタが...
東芝のダイナブックのサイトで同意を求める仕組みがフィッシングページを容易に作成できるとして、 警告している人がいた。 これで簡単にフィッシングできんな。さらにfilename=の項目をpostでできたら完璧*1。できるらしいので、死ぬほどやばい!もう東芝からダウンロー..
Keflex. Keflex znd urinary tract infections. What is keflex used for.
Levitra and cheating men.. Levitra attorneys. Levitra androxan. Levitra. Levitra online consultation.
Levitra.
- https://www.google.co.jp ×7 (2015-10-26)
- http://o.inchiki.jp/obbr/97 ×72 (2013-05-07)
- はてなダイアリー [teracc] ×11 : 3, 2, 1, 1, 1, 1, 1, 1 (2013-04-02)
- はてなダイアリー [teracc 20070225] ×94 : 93, 1 (2010-08-10)
- スラッシュドットjournal [C0FFEE] ×38 : 37, 1 (2010-04-02)
- はてなブックマークコメント ×15 : 9, 4, 2 (2009-08-26)
- http://www3.atword.jp/gnome/2009/01/27/redirect-might-be-mal... ×9 (2009-04-06)
- http://com2net.biz/discovery/discovery.htm ×4 (2008-04-25)
- http://junnama.alfasado.net/online/2005/12/ ×10 (2008-04-12)
- http://research.dc.cybozu.co.jp/newsman/story.php?id=4151 ×4 (2008-02-28)
- http://aligach.net/diary/20051208.html ×5 (2008-02-28)
- circle.cc.hokudai.ac.jp/cgi/ryu tdiary ×2 : 1, 1 (2008-01-20)
- http://blog.kenichimaehashi.com/?article=11983334360 ×4 (2007-12-23)
- http://takabsd.jp/d/?date=20061024 ×9 (2007-12-21)
- RinRin王国 ×183 : 156, 23, 3, 1 (2007-12-10)
- はてなダイアリー [fivefourty] ×7 : 4, 1, 1, 1 (2007-06-24)
- http://junnama.alfasado.net/online/2005/12/index.html ×4 (2007-05-25)
- http://junnama.alfasado.net/online/2005/12/post_21.html ×48 (2007-04-30)
- ココログ [junnama tea] ×41 : 33, 5, 3 (2006-10-21)
- ココログ [stressfulangel cocolog] ×42 : 29, 10, 2, 1 (2006-10-15)
- はてなダイアリー [fk_2000 20060920] ×14 : 12, 2 (2006-10-09)
- はてなダイアリー [fk_2000] ×4 (2006-09-20)
- http://www.cubed-l.org/?date=200512 ×6 (2006-05-12)
- http://labs.cybozu.co.jp/blog/kazuho/archives/2005/12/ ×14 (2006-03-28)
- http://labs.cybozu.co.jp/blog/kazuho/archives/cat35/ ×36 (2006-01-26)
- http://yoosee.net/d/category/Web ×4 (2006-01-09)
- http://yoosee.net/d/archives/2005/12/ ×13 (2005-12-21)
- はてなダイアリー [hoshizawa] ×19 : 15, 3, 1 (2005-12-20)
- http://labs.cybozu.co.jp/blog/kazuho/archives/2005/12/secure... ×163 (2005-12-13)
- http://labs.cybozu.co.jp/blog/kazuho/ ×22 (2005-12-13)
- http://yoosee.net/d/archives/2005/12/06/003.html ×59 (2005-12-12)
- http://yoosee.net/d/ ×5 (2005-12-12)
- はてなダイアリー [fivefourty 20051206] ×6 (2005-12-06)
- リダイレクタ ×569 / ブラウザ アドレス エラー リダイレクタ ×33 / リダイレクタ 脆弱性 ×20 / http リダイレクタ ×12 / リダイレクト 高木 ×12 / HTTP リダイレクタ ×9 / キーワード不明 ×9 / 携帯 リダイレクタ ×8 / リダイレクタ セキュリティ ×8 / リダイレクト 脆弱性 ×6 / 携帯 リダイレクト ×6 / フィッシング リダイレクタ ×5 / 携帯電話 リダイレクタ ×5 / 鉄則 高木浩光 ×5 / フィッシング ×5 / referer リダイレクト ×5 / リダイレクタ フィッシング ×5 / 携帯電話 リダイレクト ×5 / redirect URL 脆弱 ×5 / URL リダイレクタ ×5 / リダイレクタとは ×5 / リダイレクタ 高木 ×5 / HTTPリダイレクタ ×5 / cgi リダイレクト 携帯 ×5 / 脆弱性 リダイレクト ×4 / リダイレクタ CGI ×4 / 携帯 ブラウザ リダイレクト ×4 / リダイレクト referer ×4 / リダイレクトページ ×4 / 携帯 referer ×4 / URLリダイレクタ ×4 / 高木 リダイレクタ ×4 / 携帯電話 自動ジャンプ ×4 / 携帯 html リダイレクト ×4 / SSL referer ×4 / 脆弱性 ×3 / リダイレクタは ×3 / リダイレクタ 携帯 ×3 / リダイレクタ http ×3 / cgi リダイレクタ ×3 / トレンドマイクロ 脆弱性 ×3 / Webサーバに リダイレクタ ×3 / 携帯 web 自動ジャンプ ×3 / Referrer リダイレクタ 携帯 ×3 / リダイレクト ://takagi-hiromitsu.jp/diary/ ×3 / SSL リダイレクト ×3 / 携帯 html 自動ジャンプ ×3 / アドレスバー 携帯 URL IPアドレス 入力 ×3 / リダイレクタ cgi ×3 / 携帯電話 referer ×3 / 脆弱性 リダイレクタ ×3 / -hiromitsu.jp 携帯 ×3 / リダイレクター 脆弱性 ×3 / リダイレクタ Web ×2 / 高木 T ×2 / リダイレクタ経由 ×2 / 携帯 SSL リダイレクト ×2 / ブラウザ Referer https ×2 / html ジャンプ 自動 携帯 ×2 / リダイレクタ HTTP ×2 / Referer 改竄 ×2 / リダイレクト -hiromitsu.jp ×2 / リダイレクト html 携帯 ×2 / アドレス エラー リダイレクタ ×2 / ワニと小鳥 キリスト ×2 / referer -hiromitsu.jp ×2 / リダイレクト Referer ×2 / 携帯電話 脆弱性 ×2 / リダイレクタ 設定 ×2 / SSL リダイレクタ 別サーバ ×2 / redirect referer ×2 / referer リダイレクト 携帯 ×2 / リダイレクタ referer ×2 / アクセスページ cgi ×2 / php リダイレクト 携帯 ×2 / 携帯 自動ジャンプ ×2 / REFERERをチェックする ASP ×2 / 自動ジャンプ リダイレクト ×2 / system down mp3 download ×2 / redirect 脆弱性 ×2 / html リダイレクタ ×2 / 携帯電話 ブラウザ リダイレクト ×2 / HTTP_REFERERが空 SSL ×2 / URL 暗号 後ろの方 ×2 / Referer 脆弱性 ×2 / URLリダイレクト 脆弱性 ×2 / 脆弱性 referer ×2 / リダイレクトされてしまう ×2 / SSL -hiromitsu.jp ×2 / Referer 脆弱 ×2 / リダイレクタ ">>" ×2 / 電話 リンク ://takagi-hiromitsu.jp/ ×2 / bibtex "S. Watanabe" ×2 / 携帯 ://takagi-hiromitsu.jp/diary/ ×2 / 高木 リダイレクト ×2 / リダイレクタ URL セキュリティ ×2 / html リダイレクト referer ×2 / Referer リダイレクト ×2 / リダイレクト 高木浩光 ×2 / url リダイレクタ ×2 / web リダイレクタ ×2 / http redirect referer ×2 / リダイレクタ URL ×2 / referer 脆弱性 ×2 / リンク先 自動ジャンプ ×2 / CGI URLにジャンプ ×2 / html リダイレクト 携帯電話 ×2 / -hiromitsu.jp/diary 携帯 ×2 / リダイレクタ 目的 ×2