<前の日記(2007年12月02日) 次の日記(2007年12月09日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 134   昨日: 3654

2007年12月08日

EZwebブラウザの「お気に入り登録」は偽サイトを見分ける手段にならない

6月6日の日記「Upcoming Advisories」で書いていた、脆弱性届出「IPA#45031375」*1*2の件について、製品開発者がFAQとして事実を公開し、IPA#45031375 は11月26日に取り扱い終了となった。

  • EZwebで表示中のページのURLを確認する方法はありますか?, KDDI, よくあるご質問/お問い合わせ, 公表日不明*3

    質問: EZwebで表示中のページのURLを確認する方法はありますか?

    回答: 確認方法はございません。

    なお、お気に入り登録時にURLが表示されますが、そのURLはサイト提供者が任意に指定することができるため、必ずしも閲覧中のサイトと一致しない場合があります。

    PCサイトビューアーの場合、「メニュー」から「ページ情報」で確認が可能です。

FAQには掲載されたものの、「お知らせ」ページ等には掲載されていないようだ。FAQというのは、それを探している人の目にしか触れないのであり、これではとても「周知を行った」とは言えない。微力ながら私から周知をしたい*4

6月24日の日記でも改めてまとめていたように、携帯電話はアドレスバーを欠いているためphishingに騙される危険がPCに比べて高い。これは以前から言ってきたことだが、auについてこれを言うと、決まって「お気に入り登録で確認できるよ」という声が出ていた。

ところが今年3月、「お気に入り登録」では確認にならないという情報を得た。EZwebでは、以下のタグを記述することで、「お気に入り登録」の操作をした際に表示されるURLを、現在のページとは別のURLに指定することができるというのだ。

<meta name="vnd.up.bookmark" content="任意のURL" />

なるほど、いかにも携帯電話業界の連中の考えそうなセンスの悪い機能だ。他にも、

<meta name="vnd.up.markable" content="false" />

と書くことでブックマーク禁止にできるという*5。禁止して何が嬉しいのだろうか。無断リンク禁止のような話なのか。好意的に解釈すれば、「リテラシーの低いユーザが途中ページをブックマークして、ブックマークから開いたときにエラー画面になってしまうことを防ぎたい」ということなのかもしれない。そんなのは、一度失敗して理解すればよいことで、余計なお世話だ。「トップページをブックマークさせたい」というのであれば、Microsoftの「AddFavorite」の方がましな設計だろう。

これはWAPの仕様のようだが、「vnd.up.bookmark」で検索してみるといくつか解説が見つかるものの、あまり広くは知られていないようだった。

実際、私も過去に「auお客様センター」に電話した際*6に、「アドレスはお気に入り登録で確認できる」という説明を受けていたので、それで確認になると思い込まされていた。

「お客様センター」がそのような説明をしているのであれば、これは「脆弱性」と言える(「URL偽装の脆弱性」と言える)と考え、3月に再度「auお客様センターに」電話で質問してみると、やはり「アドレスはお気に入り登録で確認できる」という説明を受けた。念のため、「Eメールお問い合わせ窓口」に以下の質問を送ったところ、すぐにメールで次の回答が得られた。

EZwebブラウザで現在見ているサイトのアドレス(URL)を確認する方法を教えて
ください。

フィッシング詐欺の被害に遭わないためには、パスワードや個人情報を入力す
る際に、入力する欄のあるページで、現在見ているサイトのアドレス(URL)を
確認することが必要とされています。
参考: http://www.rcis.aist.go.jp/special/websafety2007/

EZwebブラウザにはアドレスバーがありません。EZwebブラウザで現在見ている
サイトのアドレス(URL)を確認する方法を教えてください。

From: "au by KDDI" <(略)@csmail.kddi.com>
To: (略)@takagi-hiromitsu.jp
Date: Wed, 28 Mar 2007 12:32:28 +0900
Subject: [042007032800092] お問い合わせについて

(挨拶部略)

EZwebでブラウジングしているサイトのURLについては
ブラウジング中に[ブラウザメニュー]から[お気に入り登録]を選ぶことで
表示させることが可能です。

以上のご案内をお役立ていただければ幸いです。

(挨拶部略)

******
KDDI au Eメールお問い合わせ窓口
(略)

この時点で、脆弱性として届け出ることにした。3月28日のこと。届出では次のことを書いた。

4) 再現手順

■背景
------
まず背景を説明する。

EZwebブラウザにはアドレスバーがない。そこで、auの問い合わせ窓口に以下
の質問をした。
(略)

これに対し、以下の回答が得られた。
(略)

「お気に入り登録を選ぶことで表示できる」という回答は、過去に2回、電話
でカスタマーセンターに問い合わせた際にも、同じ回答があったことから、
auは他の者からの同様の問い合わせに対して同じ回答をしていると考えられる。

■脆弱性
--------
EZwebでは、以下のタグを記述することで、「お気に入り登録を選ぶ」操作を
した際に表示されるURLを、現在のページとは別のURLに偽装することができる。

<meta name="vnd.up.bookmark" p:forua="true" content="任意のURL" />

たとえば、IPAの画面を模した偽サイトのページに、
<meta name="vnd.up.bookmark" p:forua="true" content="http://www.ipa.go.jp/" />
のタグが書かれている場合、利用者が、auに案内されたアドレスの確認方法に
従って「お気に入り登録を選ぶ」の操作を行うと、http://www.ipa.go.jp/ と
いうアドレスが表示されるため、IPAの本物サイトを見ていると錯誤すること
になる。

(略)

9) その他

<meta name="vnd.up.bookmark" p:forua="true" content="任意のURL" />
という記述で、「お気に入り登録」の登録するURLを任意のものに変更できる
のは、不具合ではなく、WAP 2.0 の仕様らしい。
参照: http://www.google.co.jp/search?q=vnd.up.bookmark

したがって、この問題は、次の2つのどちらかである。

(a) meta vnd.up.bookmark という機能の仕様上の欠陥(脆弱性)であり、
    修正されるべきもの。

(b) auカスタマーセンターが利用者に回答している、「お気に入り登録を選ぶ
    ことで表示できる」という案内が誤りであり、このような回答を中止する
    とともに、この方法では確認にならない旨を周知するべきもの。

現実的には (b) であると思われるので、KDDIは、これまでの案内に誤りがあっ
たことを告知し、「お気に入り登録を選ぶことで表示」されるものは、現在の
ページを示すとは限らない旨を周知するべきである。

そのような告知と周知をKDDIが行わないのであれば、meta vnd.up.bookmark 
という機能の仕様上の欠陥(脆弱性)であり、修正するべきである。

いずれの処置も行われない場合には、JVNがこの事実を周知するべきものと考
える。

これについて、6月6日の日記「Upcoming Advisories」で、

状況: 調整機関は4月5日に製品開発者に通知したとのこと。製品開発者は誤った説明を5月上旬に中止したとの話を、届出機関から5月21日に連絡を受けたが、中止したというのは事実でないことを6月1日に確認した。

評価: 修正による対応は現実的でないため、事実の周知が対応策となる。(誤った説明を中止し、過去の説明を撤回し、正しい情報を周知すること。)周知するだけの作業の実現に60日以上もかかるというのは、組織の脆弱性対応体制に不備があるのではないか。

と書いていたのはどういうことかというと、「誤った説明を5月上旬に中止した」というのは、5月21日に届出機関からの連絡で、KDDIは「auお客様センター」で同様の問い合わせに対して、ゴールデンウィーク明けからは「確認方法はございません」という回答をするように案内方法を変更したと、経過報告の説明を受けたことを指す。そして、6月1日に再び「auお客様センター」に同じ質問をしてみたところ、対応に変化はなかった。

6月1日には以下の事実を届出機関に伝えた。

本日、「auお客さまサポート」(関東地区)に電話で再び問い合わせました。

一回目(男性)

「フィッシング詐欺でないことを見分けるために現在見ているページのアドレスを確認したいが、パソコンのブラウザにならばアドレス欄があるが、EZwebにはアドレス欄がない。どうやったら、現在見ているページのアドレスを確認できるか?」という質問に対し、コールセンターのオペレータ(男性)は、「『お気に入り』に登録する操作で現在見ているページのURLを確認できる」と即答した。

二回目(女性)

「フィッシング詐欺でないことを見分けるために現在見ているページのアドレスを確認したいが、パソコンのブラウザにならばアドレス欄があるが、EZwebにはアドレス欄がない。どうやったら、現在見ているページのアドレスを確認できるか?」という質問に対し、コールセンターのオペレータ(女性)は、答えることができなかったため、「しばらくお待ちください」として、数分待たされた。

戻ってきたオペレータからの回答は、「『お気に入り』に登録する操作で確認できる」というものだった。

そこで、オペレータに次のように尋ねた。「このような質問にはこのように回答することになっているのですか?」「その回答は、あなたのこれまでの経験、記憶に基づくものですか、それとも、今「お待ちください」と言って、何かを調べてきた上での回答ですか?」

それに対するオペレータの回答は、「今、確認してきた回答です。」だった。

> 確認方法はございません。
> と案内方法を変更。

という措置は実施されていないようです。

その後どうなったかは確認していない。11月22日になって、前述のFAQが掲載されたという連絡が届出機関からあった。

さっさと5月の時点で公表すればいいものを、どうしてたったこれだけのことがすぐにできないのか? 顧客の安全よりも優先させているのは何なのか?

落穂拾い ―― PKI屋は馬鹿の巣窟か

6月6日の日記に書いていた「日記予定」で、まだ書いてなかったものがあったので、いくつか、簡単に書いておく。

JPNICによると「自己署名の検証」というものが可能らしい

JPNICが「JPNIC認証局」なるものを運営しているが、「JPNICプライマリルート認証局」なる認証局のルート証明書を配布しているようで、どうやって安全に配布しているのだろうかと、「JPNICプライマリルート認証局証明書の入手と確認の手順」というPDFファイルを読んでみると、こんな記述があった。

11.”証明のパス”タブを選択すると、証明のパスが最上位に記載されます。

「この証明書は問題ありません。」というメッセージが確認できれば(b. 自己署名の検証)ができていることになります。

「自己署名の検証」などというものができるとは初耳だ。もちろん、これは誤った説明である。

以上。

PKI製品の配布でPKI技術の存在意義を否定している日立製作所

自治体の電子申請システムなどで使われている「EUR Form Client」というソフトウェアがある。なんでも、ISO 15408 の認証を得たそうで、

EUR Form Clientは、情報システムや製品がセキュリティの観点から正しく設計・実装されているかを評価する、国際規格ISO15408の認証を2006年12月に取得いたしました。

EUR Version5: EUR Form Client, 日立製作所

と説明されている。「EUR Form Client - Signature Option」という機能があり、これはPKI製品である。

それなのに、このソフトのダウンロードページにはこんな記述があるのだ(図1)。

図1: EUR Form Client ダウンロードのページに書かれている説明

[詳細]タブを選択し[拇印]をクリックします。表示された文字が、次のどれかであることを確認してください。なお、表示された文字は、拇印を表示するソフトウェアの種類またはバージョンによって、大文字、小文字の相違、スペースの付加など、表示方法が異なることがあります。

・bf 68 08 f2 66 e9 cd 6b 13 3b 43 06 a8 a2 86 9c da 3b eb ab
・ad c1 42 f0 ec a8 95 9c ee eb f3 26 81 9b 36 89 a7 4b dc 40

確認後、[OK]ボタンを押下し、ActiveXのインストールを実施してください。(略)

EUR Form Client ダウンロード, 日立製作所

これはひどい。

Internet ExplorerでActiveXインストール時に出る「このソフトウェアをインストールしますか?」の警告ダイアログで、発行元が表示されている(上の図で「Hitachi, Ltd.」と表示されている)ときは、既に、ダウンロードしたファイルのコード署名の署名検証が正常に完了していることを意味しているのであり、ユーザはこの「発行元」の部分さえ確認すればよい。

それなのに、フィンガープリントを確認せよというのだ。PKI製品の配布でPKI技術の存在意義を否定してどうする?

しかも、フィンガープリントの確認手順で、http:// ページ上に記載した文字列と見比べろというのだから、そもそも確認にならない誤った方法を説明している。教育上有害だ。

ISO 15408 認証を取得するような製品でさえこの体たらくだ。嘆かわしい。

「フィンガープリント症候群」とでも呼ぼうか。2002年に総務省が撒き散らした病原菌が、これほどまでにプロ達の思考を蝕んでいる。

以上。

*1 「IPA#XXXXXXXX」は、届出が受理された時点で割り振られる受付番号で、届出者に通知されている。

*2 もうひとつの IPA#33593387 の方は既に、「JVN#33593387: KDDI 製ダウンロード CGI サンプルプログラムにおけるディレクトリトラバーサルの脆弱性」として公表されている。

*3 公表日は不明だが、IPAからの通知は11月22日だったことから、せいぜいその数週間前以内のことと思われる。

*4 ちなみに、スラッシュドットの7月11日のコメントにこれと同じ話題が書かれているが、これは私が書いたものではない。脆弱性届出窓口に届け出た以上、基本的に口外することはない。誰が書いたかわからないが、そもそもこれは元から存在する仕様通りの機能なので、知っている人には当たり前のことだったのだと思われる。

*5 それまで、ブックマークできないページがあることは知っていたが、てっきり、WMLで複数画面を1ファイルにしたときに途中ページをブックマークできないとか、そういうことかと想像していたが、そうではなく、こんなアホな機能があったわけだ。

*6 6月24日の日記で書いた、検索結果にURLが表示されない件について、昨年12月に問い合わせた際。

本日のTrackBacks(全100件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20071208]
horolog:bookmark_2007-12-09 (2007年12月09日 23:29)

高木浩光@自宅の日記 - EZwebブラウザの「お気に入り登録」は偽サイトを見分ける手段にならない, 落穂拾い ―― PKI屋は馬鹿の巣窟か TechCrunch Japanese アーカイブ ≫ CompUSA、DeadPool入り―いい

Nexium.:Does nexium cause weight gain. (2009年06月05日 17:16)

Weight gain and nexium. Nexium side effects. Nexium vs prilosec. Nexium. Coupons for nexium. Nexium tobramycin together.

検索

<前の日記(2007年12月02日) 次の日記(2007年12月09日)> 最新 編集

最近のタイトル

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|
<前の日記(2007年12月02日) 次の日記(2007年12月09日)> 最新 編集