2005年12月05日
■ リダイレクタの存在は脆弱性か?
星澤さんの2日の日記 に出ていた件、ITmediaにも記事が出ており、次のように要点が書かれている。
このフィッシングメールは、571.94ドルの税金還付を受けるためにIRSのサイ トで手続きをするようにと受信者に伝えている。より本物らしく見せるため、 このメールはメール内のURLを直接クリックするのではなく、ブラウザのアド レスバーにコピー&ペーストするよう指示している。このURLは本物 の IRSサイトのドメイン名を使っているが、このサイトの設定ミスのために、 フィッシング詐欺犯が設置した偽のサイトにリダイレクトされてしまう。 (略)
「これは典型的なフィッシングよりも高度だ。URLが――最初は――本物のサイトにつながるからだ」とSophosのセキュリティコンサルタント、 グラハム・クルーリー氏は語る。
政府サイトの設定ミスを突いたフィッシング, ITmediaニュース, 2005年12月1日
この問題は、広く信頼されているドメイン名のサイト上に、「リダイレクタ」 (任意のURLへ自動ジャンプさせるCGIプログラム)が存在する場合、攻撃者が 被害者に見せるURLのドメイン名がその信頼されたドメイン名であっても、最 終的なアクセス先は、攻撃者が指定する任意のサイトとなってしまうというも のだ。たとえば、
http://example.go.jp/redirect?url=http://phisher.example.com/
というURLを見せられたときに、「go.jpのサイトだな」と信用してアクセスし ても、最終的に表示される画面は「phisher」のページとなるということだ。 (後ろの方の怪しげなURLは「%」エンコードでわかりにくくすることができる。)
問題を指摘したSophosは、これを「明らかなセキュリティ上の設定エラーが IRS の正規 Web サイト上にあり」と位置づけたとされて いるが、さて、これは本当に脆弱性として扱うべき(修正されるべき)ものだ ろうか。
まず、本当に「設定」で回避することができるのか。リダイレクタの大半は、 任意のサイトへのリダイレクトを目的としている。その場合、このような悪用 をされないようにするには、Refererをチェックするしかない。Refererが空の 場合は、機能しないようにする必要があるので、Refererの送出を止める設定 のブラウザを使用している閲覧者は、そのリダイレクタ経由でのリンクを使え なくなってしまう。
リダイレクタ自体が不要だということは、多くの場合に言えるかもしれない。 大して必要でもないのに、閲覧者のアクセス動向を探る(どのリンクをクリッ クして外部サイトにジャンプしたかの記録をとる)ために安易にリダイレクタ を設けているサイトも少なくないかもしれない。
だが、本当にリダイレクタが必要な場合はどうすればよいだろうか。
「リダイレクタの存在は脆弱性ではない」という見方もできる。
ちょうど先日、JNSAのフォーラムで「安全なWeb利用の鉄則」という講演をし てきた。これは以下にレポートされている。
- シンプルな安全確認ルールとそれに則ったサイト作りを〜産総研高木氏講演, INTERNET Watch, 2005年12月2日
この講演の要旨は、利用者の自衛手段となる「鉄則」を明確にし、利用者とサ イト運営者の責任分界点を明確にすることが必要であるとするものであるが、 その「鉄則」は簡潔でなければならず、過剰な手順を教えるのは誤りであると いうことを主張している。
結論として挙げた鉄則は以下である。(スパイウェアに感染していないことを 前提とした場合。)(Webブラウザに脆弱性がないことを前提とした場合。)
つまり、利用者の簡潔な鉄則は、情報を入力する直前で今見ている画面を確認 することである。
ジャンプ前にジャンプ先が信用できるサイトかどうかを確認する方法がダメな 理由は、情報の入力にSSLの使用を前提としている場合、最初に確認した信頼 できるサイトから入力画面に到達するまでに辿ったページに一つでもSSLを使 用していないページがあったなら、そこでパケット改竄されて、違うところへ 飛ばされている可能性があるので、ジャンプ前では確認にならないからだ。
SSLを使用しない場合であっても、複数のリンクを辿っていく場合、常に信用 できるところを辿っているか確認する意識を継続しないといけないのだから、 あまり現実的な方法ではない。
このような利用の鉄則が周知されていれば、リダイレクタがどこにあろうと問 題ではなくなる。
とはいえ、「利用者への周知など無理だ」という理由から、「無用なリダイレ クタは排除した方がよい」ということも言えるのだろう。しかし、そうすると、 すべての著名サイトはリダイレクタを設けてはならないということになってし まう。
選択肢は、次の二つ。
- リダイレクタは脆弱性ではないと考え、利用者が入力時確認を徹底する。
- すべてのリダイレクタの存在は脆弱性であるということにして、リダイ レクタを設けたいときは、信用性の低いドメイン名を使うか、数値形式のIPア ドレス(ホスト名でアクセスできない)を使った別サーバに設置する。
リダイレクタを撲滅させたいがために、リダイレクタ設置者の責任を追及する あまり、利用者の本来なすべき確認手順の周知をおろそかにするということが 起きがちだ。いずれにせよ、簡潔な利用の鉄則の周知を怠らないべきである。
ところで、携帯電話にはアドレスバーがないので、この鉄則は携帯電話のWeb ブラウザには適用できない。携帯電話では、ジャンプ前(メールからURLにジャ ンプするときや、QRコードで読み取ったURLにジャンプするとき)で確認する しかない。
ということは、アドレスバーのない携帯電話では、リダイレクタがあってはな らない(もしくは、リダイレクト時に携帯電話のブラウザが確認画面を出す必 要がある)ことになる。
と、書いてみたが、同じことは去年4月28日の日記に書いていた。
{{{: 任意のサイトへのリダイレクトを目的としている。その場合、このような悪用をされないようにするには、Refererをチェックするしかない。Refererが空の場合は、機能しないようにする必要があるので、Refererの送出を止める設定のブラウザを使用している閲覧者は、その..
高木浩光氏のブログ「高木浩光@自宅の日記」のエントリ「リダイレクタの存在は脆弱性か?」に便乗。 広く信頼されているドメイン名のサイト上に、「リダイレクタ」(任意のURLへ自動ジャンプさせるCGIプログラム)が存在する場合、攻撃者が被害者に見せるURLのドメイン名..
リダイレクタの存在は脆弱性か?(高木浩光@自宅の日記2005年12月5日)を読んで、関係があるような無いようなことをちょっと書こうと思う。 このようなリダイレクトページが適切に作成されていれば問題は無いのだが、リダイレクトを行うページがしばしば例に出される脆弱..
[リダイレクタの存在は脆弱性か?] リンク先の最終アクセスページでURLを確認する、と言うのは当然なのでまぁ置いておく。リダイレクトするサーバ側に実際のURLを事前登録しておいて、リダイレクト時に Hashmap を利用してジャンプの有無を決めれば宜しいのではないかなと。..
リダイレクタの存在は脆弱性か? (高木浩光@自宅の日記) 等で、リダイレクタが...
東芝のダイナブックのサイトで同意を求める仕組みがフィッシングページを容易に作成できるとして、 警告している人がいた。 これで簡単にフィッシングできんな。さらにfilename=の項目をpostでできたら完璧*1。できるらしいので、死ぬほどやばい!もう東芝からダウンロー..
Keflex. Keflex znd urinary tract infections. What is keflex used for.
Levitra and cheating men.. Levitra attorneys. Levitra androxan. Levitra. Levitra online consultation.
Levitra.
- https://www.google.co.jp ×7 (2015-10-26)
- http://o.inchiki.jp/obbr/97 ×72 (2013-05-07)
- はてなダイアリー [teracc] ×11 : 3, 2, 1, 1, 1, 1, 1, 1 (2013-04-02)
- はてなダイアリー [teracc 20070225] ×94 : 93, 1 (2010-08-10)
- スラッシュドットjournal [C0FFEE] ×38 : 37, 1 (2010-04-02)
- はてなブックマークコメント ×15 : 9, 4, 2 (2009-08-26)
- http://www3.atword.jp/gnome/2009/01/27/redirect-might-be-mal... ×9 (2009-04-06)
- http://com2net.biz/discovery/discovery.htm ×4 (2008-04-25)
- http://junnama.alfasado.net/online/2005/12/ ×10 (2008-04-12)
- http://research.dc.cybozu.co.jp/newsman/story.php?id=4151 ×4 (2008-02-28)
- http://aligach.net/diary/20051208.html ×5 (2008-02-28)
- circle.cc.hokudai.ac.jp/cgi/ryu tdiary ×2 : 1, 1 (2008-01-20)
- http://blog.kenichimaehashi.com/?article=11983334360 ×4 (2007-12-23)
- http://takabsd.jp/d/?date=20061024 ×9 (2007-12-21)
- RinRin王国 ×183 : 156, 23, 3, 1 (2007-12-10)
- はてなダイアリー [fivefourty] ×7 : 4, 1, 1, 1 (2007-06-24)
- http://junnama.alfasado.net/online/2005/12/index.html ×4 (2007-05-25)
- http://junnama.alfasado.net/online/2005/12/post_21.html ×48 (2007-04-30)
- ココログ [junnama tea] ×41 : 33, 5, 3 (2006-10-21)
- ココログ [stressfulangel cocolog] ×42 : 29, 10, 2, 1 (2006-10-15)
- はてなダイアリー [fk_2000 20060920] ×14 : 12, 2 (2006-10-09)
- はてなダイアリー [fk_2000] ×4 (2006-09-20)
- http://www.cubed-l.org/?date=200512 ×6 (2006-05-12)
- http://labs.cybozu.co.jp/blog/kazuho/archives/2005/12/ ×14 (2006-03-28)
- http://labs.cybozu.co.jp/blog/kazuho/archives/cat35/ ×36 (2006-01-26)
- http://yoosee.net/d/category/Web ×4 (2006-01-09)
- http://yoosee.net/d/archives/2005/12/ ×13 (2005-12-21)
- はてなダイアリー [hoshizawa] ×19 : 15, 3, 1 (2005-12-20)
- http://labs.cybozu.co.jp/blog/kazuho/archives/2005/12/secure... ×163 (2005-12-13)
- http://labs.cybozu.co.jp/blog/kazuho/ ×22 (2005-12-13)
- http://yoosee.net/d/archives/2005/12/06/003.html ×59 (2005-12-12)
- http://yoosee.net/d/ ×5 (2005-12-12)
- はてなダイアリー [fivefourty 20051206] ×6 (2005-12-06)
- リダイレクタ ×569 / ブラウザ アドレス エラー リダイレクタ ×33 / リダイレクタ 脆弱性 ×20 / リダイレクト 高木 ×12 / http リダイレクタ ×12 / キーワード不明 ×9 / HTTP リダイレクタ ×9 / リダイレクタ セキュリティ ×8 / 携帯 リダイレクタ ×8 / 携帯 リダイレクト ×6 / リダイレクト 脆弱性 ×6 / フィッシング ×5 / referer リダイレクト ×5 / URL リダイレクタ ×5 / 携帯電話 リダイレクト ×5 / リダイレクタ 高木 ×5 / リダイレクタとは ×5 / redirect URL 脆弱 ×5 / HTTPリダイレクタ ×5 / 鉄則 高木浩光 ×5 / フィッシング リダイレクタ ×5 / cgi リダイレクト 携帯 ×5 / リダイレクタ フィッシング ×5 / 携帯電話 リダイレクタ ×5 / 脆弱性 リダイレクト ×4 / 携帯 html リダイレクト ×4 / リダイレクタ CGI ×4 / SSL referer ×4 / URLリダイレクタ ×4 / リダイレクトページ ×4 / リダイレクト referer ×4 / 高木 リダイレクタ ×4 / 携帯電話 自動ジャンプ ×4 / 携帯 ブラウザ リダイレクト ×4 / 携帯 referer ×4 / 携帯 html 自動ジャンプ ×3 / Referrer リダイレクタ 携帯 ×3 / -hiromitsu.jp 携帯 ×3 / 脆弱性 リダイレクタ ×3 / 携帯電話 referer ×3 / リダイレクタは ×3 / リダイレクタ 携帯 ×3 / SSL リダイレクト ×3 / リダイレクタ cgi ×3 / トレンドマイクロ 脆弱性 ×3 / リダイレクター 脆弱性 ×3 / リダイレクタ http ×3 / cgi リダイレクタ ×3 / Webサーバに リダイレクタ ×3 / 携帯 web 自動ジャンプ ×3 / アドレスバー 携帯 URL IPアドレス 入力 ×3 / リダイレクト ://takagi-hiromitsu.jp/diary/ ×3 / 脆弱性 ×3 / html リダイレクタ ×2 / 携帯 SSL リダイレクト ×2 / 高木 リダイレクト ×2 / HTTP_REFERERが空 SSL ×2 / Referer リダイレクト ×2 / リダイレクタ 目的 ×2 / http redirect referer ×2 / リダイレクトされてしまう ×2 / -hiromitsu.jp/diary 携帯 ×2 / リダイレクタ HTTP ×2 / 高木 T ×2 / アクセスページ cgi ×2 / 電話 リンク ://takagi-hiromitsu.jp/ ×2 / referer 脆弱性 ×2 / 携帯電話 脆弱性 ×2 / リダイレクト -hiromitsu.jp ×2 / CGI URLにジャンプ ×2 / web リダイレクタ ×2 / リダイレクト Referer ×2 / リダイレクタ経由 ×2 / リンク先 自動ジャンプ ×2 / リダイレクト 高木浩光 ×2 / URLリダイレクト 脆弱性 ×2 / SSL -hiromitsu.jp ×2 / redirect 脆弱性 ×2 / referer -hiromitsu.jp ×2 / Referer 改竄 ×2 / bibtex "S. Watanabe" ×2 / redirect referer ×2 / リダイレクタ referer ×2 / リダイレクト html 携帯 ×2 / php リダイレクト 携帯 ×2 / html リダイレクト referer ×2 / 携帯電話 ブラウザ リダイレクト ×2 / アドレス エラー リダイレクタ ×2 / ワニと小鳥 キリスト ×2 / url リダイレクタ ×2 / ブラウザ Referer https ×2 / Referer 脆弱 ×2 / 自動ジャンプ リダイレクト ×2 / Referer 脆弱性 ×2 / html ジャンプ 自動 携帯 ×2 / リダイレクタ 設定 ×2 / リダイレクタ URL セキュリティ ×2 / リダイレクタ URL ×2 / SSL リダイレクタ 別サーバ ×2 / 携帯 自動ジャンプ ×2 / リダイレクタ Web ×2 / 脆弱性 referer ×2 / html リダイレクト 携帯電話 ×2 / referer リダイレクト 携帯 ×2 / system down mp3 download ×2 / 携帯 ://takagi-hiromitsu.jp/diary/ ×2 / URL 暗号 後ろの方 ×2 / リダイレクタ ">>" ×2 / REFERERをチェックする ASP ×2