2005年04月05日(火) << 前の日記 | 次の日記 >>
これまでの04月05日 編集

■1 続・「セキュリティのため」ActiveXコントロールの導入を勧めるUFJカード[http://www.nantoka.com/~kei/diary/?200504a&to=200504041#T200504041][セキュリティ] このエントリーをはてなブックマークに追加

セキュリティホール memo ML[http://memo.st.ryukoku.ac.jp/] で、 情報[http://memo.st.ryukoku.ac.jp/archive/200504.month/8289.html] を頂いた。実際にインストールされた様だ。
結論として、
nProtect:Netizen は、ニセサイトをつくった上で HTML mail をばらま
き、メールに設置したリンクから誘導させる攻撃 (= とてもありがちな
フィッシング) には、残念ながら対応できないような気がします。その
ニセサイトに、ニセの nProtect:Netizen 起動ボタン・起動画面があっ
たら、利用者はよけい信用してしまうかもしれません。

と判断しておられるけれども、これは同感だ。 「メールに書かれたページにアクセスする前に、まずトップページにアクセスしてください。」[http://www.nantoka.com/~kei/diary/?200504a&to=200504043#T200504043] の記事で述べた様に、そもそもフィッシング詐欺に引っかかるケースの大部分、むしろほとんどが、(信用できる方法で確認した)トップページからアクセスしておらず、URLの確認もしていない訳で、このケースではこのソフトは有効でない。

逆にもっと深刻なケースで、DNSが騙されているという状況ではどうか。毒入れ以外にもローカルに偽DNSサーバやDHCPサーバがあれば、DNSを偽ることができる。

ところが、こういうケースでは当然ながら、トップページへのアクセスも偽のページに誘導される。ActiveXを有効にして、起動することに慣れていれば、それこそ偽のActiveXを組み込ませることができてしまう。一度送り込めば何度でも悪用できるのだから、ホテルの共有LAN等で偽DHCPサーバを立ち上げて、一回だけ騙せれば良いのだ。
偽物を送り込むまでしなくても、何らかのインチキな画面を出しておけば、多くのユーザはその画面が本物と確認する方法はないから、本物と信じ込んでしまうだろう。
このケースで有効なのは、信用できる証明書によるhttpsの通信だけである。
結局、アドレスバーの確認と証明書の確認を欠かすことはできないし、この確認をないがしろにして、フィッシング詐欺問題を解決するのは困難な様だ。

こういうツールを組み込ませる会社は、自分のページでのアクセスさえ防御できれば、利用者の端末のセキュリティがどうなっても良いと考えているのではないかとさえ思ってしまう。
さすがに、そんなことは無かろうが、利用者のセキュリティ環境にリスクを与えるプログラムを「セキュリティを理由に」配布する際には、相当に吟味が必要だと思う。このプログラムを配布している会社は、十分な吟味を行ったのだろうか。

関連記事[http://www.nantoka.com/~kei/diary/?200504a&to=200504073S8#T200504073S8]:

2005年4月8日付記。
この記事に関連するリンク。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年04月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project