日本の電子商取引サイトのセキュリティ対策とは 17
ストーリー by wakatono
実は安心してWebサイトで買い物もできない世の中? 部門より
実は安心してWebサイトで買い物もできない世の中? 部門より
k3c 曰く,"産業技術総合研究所の高木浩光氏らが「IT コマースの脆弱な現実と危機回避に向けた展望」と題した論文(PDFファイル)を公開している。この中で彼らは日本の電子商取引サイトに対して調査を行い、その大半が何らかの脆弱性を抱えていること、運用担当者にその事実に対する認識やセキュリティ教育が不足していることを明らかにした。
内容は主にクロスサイトスクリプティングとルート証明書のインストール強要、及び「なりすまし」によるパスワード盗用についての話題に絞られているが、これだけでも何も知らされていない一般ユーザーを震え上がらせるには十分なインパクトを持つ内容である。そして真に脅威なのは、これらの脆弱性は既知のものでありなんら新しいものではないにも関わらず、本来これらの問題には熟達しているべき開発者・運営者サイドにさえこれらの脆弱性に関する問題点があまり知られていないという事実である。
…と堅苦しい話はさておき、論文中の円グラフを見るだけで電子商取引サイトを使うのが怖くなってしまったのはワタシだけではないはず。/.-Jにはデベロッパな方々も多くおられると推測するが、皆さんセキュリティには十分すぎるほどの気配りをお願いしたいところ。
…念のため言っておきますがそこの物好きなアナタ、実際に<SCRIPT>タグをフォームに入れたりしないようにね。後ろに手が回りますよ。"
なりすまし対策 (スコア:4, すばらしい洞察)
そうやってなりすましたページでゲットした口座番号とパスワードで堂々と正門から入ってくるんだってのが理解できないのかねえ。
リアルの銀行だって夜間金庫の前をベニヤで作った偽の夜間金庫で覆って現金を盗み取るという事件があった位だから、ネット上のなりすましページなんて、コロっと騙されちゃうユーザーは一杯いるって...。
Re:自分が自分であることを自分で証明 (スコア:4, 参考になる)
…てなことはさておき、強制的にルート証明書をインストールさせることの是非は、その証明書が信頼しようとしている相手が本当に発行したものであることが確認できるか否かにかかっているのだと思います。銀行の奥のほうの部屋でフィンガープリントの手書きメモを手渡されたらアナタはその証明書を信用しますか、とか。どの程度までの証明を自分が信頼するか、どの程度までなら自分の情報を開示するか、ということを認識して、その上で良しとするなら、ルート証明書をインストールすることには何の問題もないでしょう。
この論文に取り上げられたケースでは、証明書の真偽を確認できる情報が何もない(フィンガープリントすら与えられない)状態でルート証明書を(しかもhttpプロトコルでダウンロードして)インストールする、という手順がまず問題視されていると思います。その上で秘密鍵の盗難対策、という話にもなってくるわけですが。
自分が自分であることを自分で証明 (スコア:3, すばらしい洞察)
電子署名は、信頼できる認証局があってはじめて有効性を発揮するのに、こんなことしてたんじゃ意味ないな。
「この署名、ほんとにアンタのか?」
「俺さまが言うんだから、まちがいねぇ。」
よく理解してないけど (スコア:2, 興味深い)
それだけなら別に問題ないんでは?
クラッカーにとって有用な(?)サイトのクッキーを読み出すためには、そのサイトのページを改ざんしないといけないと思う。自分で立ち上げたサイトにこれを仕掛けても意味ないような、、、。
勘違いしてるかな。
Re:なりすまし対策 (スコア:2, 参考になる)
もちろんどちらも記録(ログ)が残り、裁判所からの開示要求を取り付ければ犯人を追うことはできるのですが、悪戯の可能性を拭うことは出来ません。
これらの根底の部分の防護手段が確立するのに時間がかかるのは明白で、管理者 or ネットワーク担当者はこれらの成り済ましが「誰にでも簡単にできる」というのを再認識し日頃のチェックを怠らないことが大事ですね。
Re:自分が自分であることを自分で証明 (スコア:2)
信頼できない相手に対して、暗号化せずには送りたくない情報を送れますか?
大手企業でも何でも、信頼できる通信相手であることの確認は、「なりすまし」によって重要な情報を盗まれないためにとても重要なことです。
Re:よく理解してないけど (スコア:1)
Re:よく理解してないけど (スコア:1)
いくらでも仕掛け放題だと思うんだけど。
Re:よく理解してないけど (スコア:1)
> ./J の利用できる HTMLタグが制限されている・・とくにタグが利用できない意味を考えられたし
なるほど、そうだねぇ。
簡単に悪意のあるコードをそのサイトの一部にできちゃうんだ。
Re:自分が自分であることを自分で証明 (スコア:1)
つまり443でおしゃべりしたいだけ、とか。
それだったらいちいちダイヤログが出るのって面倒だし...
まあ勧められたことじゃないけど(というかホントはあまり意味がない、と思う)、「身元証明して欲しいワケじゃないけど暗号化通信だけ使いたい」というニーズはないのか?
少なくとも大手の企業のウェブサイトであれば(アドレスバーでそう確認できれば)それほど身元証明の必要性を感じない、ということもあるのかも。まあユーザにインストールを強いてまでコストダウンをはかるのもどうか、と思うが。
あと、毎年12万円ヴェリサインに払うのもなあ、とか思ってるのでは?(それは私が、だ)
ソートがなくなっちゃって(128bitでも同じ値段だったし)残念。全然安かったのにな。
他に日本から手軽に使える第三者証明機関てないんだろうか?
一番問題なのは (スコア:1)
Re:自分が自分であることを自分で証明 (スコア:1)
逆に「特に暗号化通信したいわけではないが、ヴェリサインが身元証明しているのを見せたい」というケースもあるみたいです。
# 知り合いの会社で「そういうことをやった」というのを聞いたことがあります。
一点訂正 (スコア:1)
> 実際にタグをフォームに入れたりしないようにね。後ろに手が回りますよ。
と書きましたが、自分で自分のブラウザの動作を試しただけで「後ろに手が回」ったりはしないですね。勢いでいい加減なことを書いてしまいました。この部分は撤回します。
Re:よく理解してないけど (スコア:0, 余計なもの)
要はスラドのようにBBSや日記のサービスを立ち上げているサイトで
対策をしていない場合に、悪意のある人間が情報吸い取り用の
CGIへのURLとSCRIPT文を組み合わせたタグ付きの投稿とかが出来るわけで
その場合はそのサイトをHackしなくてもCookie情報は吸い取れるわけで。
そういう事を言いたかったんだけど、
勢いで書き込むとなんかダメだな・・・
Re:なりすまし対策 (スコア:0)
インターネットで手続き 岡山市水道局 ネットで気に食わない奴はメルアドからJPNICメルマガの登録者ディレクトリで住所氏名を調べて水道を止めてしまえる、そんな時代が来るのか?
Re:一番問題なのは (スコア:0)
開発者もそうだとは思いますが、SIerなどもしかりでしょう。開発者もSIerもちゃんと勉強したり、情報収集をやっていればいいんですが、なにぶん時間が無いらしい(笑)。
彼らにとっては、あくまで仕事であり顧客のサイトがハクられてしまっても彼らのハラは痛まないし、まあ始末書書いて、上司が詫びいれて終わりとか。(笑)
プロなんだから、もう少し勉強したらとか思ってたりするけどまあいいかって感じっす。
よく教育をすべきみたいなこと言われますが、問題意識の欠如もしくは、問題を問題として認識できないレベルではいくら教育しても、時間の無駄ってことでは。
自分の証明≒安全の証明 (スコア:0)
「自分の証明=安全の証明」
は成り立たない。
危険な事を企む人が自分から危険だと言う事は少ない。
利用者自身に、見極める目が必要。
~利用者は欲に目が眩まないように~