24日のIT Proの記者の眼に「なぜSSL利用をケチるのか」という記事が出ていた。筆者の阿蘇氏には勤務先でWebアプリケーションセキュリティについて取材を受けたことがある。この記事の主張はこうだ。
Webサイトはログイン画面からSSLを使い,利用者はログイン時に鍵マークを確認するのが常識。
阿蘇和人, なぜSSL利用をケチるのか, 日経IT Pro記者の眼, 2005年11月24日
正しい。より正確には「ログイン時」というのは、パスワードを入力する前にということだろう。ただ、その根拠としてこの記事は、フィッシング対策としてサイトが本物かを確かめるためという点だけを挙げているが、その根拠はやや弱い。
SSLをパスワード送信先の画面からではなく、入力画面から使わなくてはならない理由のもうひとつの重大な理由は、パケット改竄可能な状況での盗聴が可能になってしまうからだ。このことについては、だいぶ前から講演で述べてきた。たとえば、2003年9月の「安全なWebサイト設計の注意点」のスライド4から始まるそのビデオで説明している。
なかなかわかってもらいにくい話なので、そのような画面構成になっていたある公共料金の明細閲覧サイトに対して、今年8月にメールで問い合わせをしてみた。以下はそのやりとりである。
質問一回目: ○○○○○のログイン画面が https:// になっていません。暗号化に不備があるのではないでしょうか?
回答: ○○○○○ログイン後のホームページは、セキュリティを強化したページになっております。そのため、○○○○○○のIDとパスワードも、保護されて送信されております。ご安心下さいませ。
質問二回目: ログイン後のページが https:// になっていることは、パスワード送信前の段階で、どのようにして確認できるのでしょうか?
回答: ○○○○○○のホームページ http://○○○.○○.com/○○○○○○/ の一番下にございます、『プライバシーを保護します』という項目にて、『ホームページに掲載する情報は暗号化して送受信されます。(SSL技術使用)』というご説明を掲載させていただいております。わかりづらくて申し訳ございませんでした。
質問三回目: いくらそのように文章で書かれていても、今私が見ているログイン画面が本当に、送信先が https:// になっているかどうかは、どうやって確認できるのでしょうか?たとえば、通信路上でパケット改竄されていれば、今見ている画面のリンク先(パスワードの通信先)は、https:// ではなく http:// に改竄されているかもしれないわけですが。
回答: Internet Explorerをご利用の場合は、ページ上部のメニューの『ツール』⇒『インターネットオプション』をお選びいただき、『セキュリティ』の項目で『保護付き/保護なしのサイト間を移動する場合に警告する』にチェックを入れていただければ、保護されているサイトに接続される際にメッセージが表示されます。
また、改竄につきましてご心配を頂いておりますが、弊社では、リンク先等を改竄されないようホームページを構成いたしております。ご安心してご利用いただければと存じます。
質問四回目: それは、パスワードの送信を開始させた後に表示されるメッセージですね。しかもそれは、正常な場合(https:// でのパスワード送信となっていた場合)に出るメッセージであって、異常な場合(引き続き http:// のままでアクセスする(パスワードを送信する)場合)には、出ないメッセージではありませんか?つまり、あなたの言うように設定していても、パスワードの送信を開始した後、そのメッセージが出なくて異常に気付いても、後の祭なのではないですか?
私は前回、「通信路上でパケット改竄されていれば」と書きました。通信路上でのパケット改竄を防ぐには SSL を使用して https:// にするしかありません。しかし、○○○○○○のパスワード入力画面は http:// であり、通信路上での改竄防止措置がとられていません。「改竄されないよう構成しています」というのは、明らかな嘘偽りです。
回答: ○○○○○○では、パケット改竄などの不正アクセスの防止等に日々努めております。誠に申し訳ございませんが、何卒ご理解頂きますようお願い申し上げます。
質問五回目: 通信路上でのパケット改竄をどうやって御社が防ぐのですか?御社のコンピュータから私の家のコンピュータまでの通信路上で、パケットが改竄されることを、どうやって御社が防いでいるというのかを教えてください。
回答:
高木様のおっしゃる通り、ログイン画面では、httpsによる暗号化が望ましいと思います。
○○○○○○では、SSLを利用したログイン画面
https://○○○.○○.com/○○○○○○/login.html
も設けておりますが、現状の○○○○○○トップページ
http://○○○.○○.com/○○○○○○/
からは、暗号化されたログインページにアクセスすることができなくなっております*1。
そのため、今後はトップページより、暗号化されたログインページへのアクセスをご選択いただけるような形に変更するよう対応していきたいと思います。
このような質問をするなどして、ご自身で考えて頂かない限り、運用中のサイトの管理責任者にこの問題を理解していただくことは難しい。
その後このサイトの画面構成は改善され、トップページのパスワード入力欄は撤去され、「ログイン」ボタンを押すと https:// のページにジャンプするようになり、そこにパスワード入力欄が現れるという構成になった。
阿蘇氏の「 なぜSSL利用をケチるのか」には、次の記述がある。
今や重要な情報を扱うWebサイトは,SSLを使うのが常識。しかし,ログイン後はSSLを使うのに,ログイン画面の表示にはSSLを使用していない Webサイトが意外に多い。銀行のサイトではさすがに減っているが,Webメールやクレジットカード会社などにはまだある。そのようなサイトに限って,「ログイン時にSSLを使うのでIDやパスワードは暗号化されます」とわざわざ注意書きがあったりする。
阿蘇和人, なぜSSL利用をケチるのか, 日経IT Pro記者の眼, 2005年11月24日
銀行のインターネットバンキングでは、以前から、パスワード入力画面は、サイトのトップページにはなく、ボタンを押して進んで現れる専用画面に設置されていて、入力画面からして https:// になっているというところがほとんどだった。
それに対しクレジットカード会社は、どういうわけか、そのような構成ではなく、カード会社トップページにパスワード入力欄を設けており、画面は SSLを使わずに http:// のままとなっているところがやたら目につく。
クレジットカード産業協会の会員企業一覧から、いくつかのメジャーなカード会社のサイトについて調べてみた。
このように、21のクレジットカードのうち、ID、パスワード入力画面がSSLになっていないところは 15サイト、つまり7割を超える。
どうしてこんなことになっているのだろうか。銀行とは対照的である。作っている業者が閉じた世界の業界に限定されているのか、それとも、同業他社のサイトを真似て作るために、どこかが始めたものが伝染してしまっているのか。
銀行業界では、昨年秋のフィッシング詐欺報道の機会に、一斉にアドレスバーを隠さない画面構成に改善するということがあった。業界内での情報伝達がある程度できているのだろう。
クレジットカード業界は、フィッシングやスパイウェアの報道に対して、高額なセキュリティ対策製品を購入するという方向に出た。ろくに対策にならない、それどころか誤ってユーザを安心させるような、つまらない「対策ソフト」がこぞって導入されたことは、業界通にはよく知られているところだ。
どうやら、クレジットカード業界は、Webセキュリティに関する正しい情報が伝達されない状況にあるらしい。これはクレジット産業協会の認識不足に原因があるのではなかろうか。
*1 「できなくなっております」とは、https:// ページへのリンクがないという意味で、ユーザが自力でアドレスバーに「s」を挿入して https:// で同じページにアクセスすることはできるようになっていた。