2005年02月16日(水) これまでの02月16日 編集

■1 高知県電子申請システムはどうしてアドレスバーを隠すのか[http://www.pref.kochi.jp/~jyouhou/denshishinsei/] このエントリーをはてなブックマークに追加

ファーミング詐欺と区別がつかない自治体電子申請サイト[http://takagi-hiromitsu.jp/diary/20050212.html#p01] で取り上げられている、 pharming(ファーミング)――オンライン詐欺は「釣り」から「農業」へ?[http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050209/155922/] の記事とあわせてお読み頂きたい。
「アドレスバーを確認する」ことは、フィッシング詐欺に利用者サイドで対策するために、もっとも基本的なことだと思う。もちろんアドレスバーの確認だけでは、指摘されている様にファーミング詐欺成り済ましに対応できないので、そのためにサーバ証明書というものがある。証明書の内容を検証しないといけないのは述べられている通りだ。

ところが、セキュリティが特に重視される筈の電子申請システムで、肝心なアドレスバーを隠しているサイトを見つけた。
高知県 電子申請・届出システム[http://www.pref.kochi.jp/~jyouhou/denshishinsei/] がそれである。他の自治体でもこういうケースはあるのかも知れないが、高知県のシステムについては他にも問題が多いと思われるので取り上げた。

表示された画面から、例えば「処理状況確認画面」をクリックすると、 ものすんごい証明書[http://takagi-hiromitsu.jp/diary/20050111.html#p02] の警告が表示されるのだけれども、受け入れる *1 と、システム本体のログイン画面が開く。
高知県 電子申請・届出システムログイン画面
ログイン画面からアドレスバーがきれいさっぱり消えている。このページは例のオレオレ証明書によるhttpsのページなのだが、ステータスバーも消されているので、証明書を確認する事もできない。

これを、デザイン上の理由で「隠れている」のではなく、「隠している」と判断した理由がある。
先の 高知県 電子申請・届出システム[http://www.pref.kochi.jp/~jyouhou/denshishinsei/] の画面で、「処理状況確認画面」をポイントした時のステータスバーの表示に注目して頂きたい。
ステータスバー
これを見た限りでは、「http://www.pref.kochi.jp/~jyouhou/denshishinsei/#」にリンクされている様に見える。
ログイン画面のURIを確認するために、右クリックすると、
右クリックは使用できません。
「右クリックは使用できません。」なるウインドウが表示される *2 。仕方がないので、Firefoxで表示 *3 してみると、
ログイン画面のページ情報
と表示された。
リンク元のページのソースを見ると、

<a href='#' onClick='return openShinsei("https://www.cdc.net-kochi.gr.jp/egov/denshi/sinsei/service?citycode=39000")'>処理状況確認画面</a>

となっていて、openShinseiを経由して画面を開く事によって、実際のリンク先である「https://www.cdc.net-kochi.gr.jp/egov/shinsei/jsp/a_loginNN.jsp」を積極的に「隠して」いるのは間違いない *4 。まるでフィッシング詐欺を仕掛ける側が駆使する様な手法である。

net-kochi.gr.jpなる団体がどういう団体か、 NET-KOCHI(http://www.net-kochi.gr.jp/)[http://www.net-kochi.gr.jp/] を見てみたけれども、今ひとつ明らかではない。もちろん、ページにいくらもっともらしい事が書いてあってもそれが信用できないのは言うまでもない。
さらに、 http://www.cdc.net-kochi.gr.jp/[http://www.cdc.net-kochi.gr.jp/] を見てみると、「高知コミュニティデータセンターサイト」と称するページが表示された。「称する」と書いたのは確認する方法が無かったからで、ひょっとするとこれは本当に「高知コミュニティデータセンターサイト」なのかも知れない。サイト運営者については、 免責事項[http://www.cdc.net-kochi.gr.jp/policy/index.html] のページには、

高知コミュニティデータセンターサイトは、経済産業省からの委託を 受け、財団法人ニューメディア開発協会の監督支援のもとに、高知県や県内市町村、複数の企業・団体で構成される高知CDC整備促進協議会により運営されています。

と書かれている。
これを信用すると、

  • 高知コミュニティデータセンターサイトは、
  • 経済産業省からの委託を受け
  • 財団法人ニューメディア開発協会の監督支援のもとに
  • 高知県や県内市町村、複数の企業・団体で構成される高知CDC整備促進協議会
  • により運営

されている任意団体 *5 と思われる。

話が混乱してきたので整理すると、

  • 高知県 電子申請・届出システムの本体は、「高知コミュニティデータセンターサイト」と称するドメインで稼働しており、このことは利用者に対して隠されている。
  • 「高知コミュニティデータセンターサイト」というのは、任意団体である。
  • このドメインをホストしているのは、「NET-KOCHI(仮称)」という、任意団体である

という状況にあることが分かる。

ここまで見てくると、なぜアドレスバーやステータスバーを隠しているのかという事情が見えてくる。
私がこのシステムの利用者だったとしよう。高知県は信用できるけれども、システムにログインしようとすると、私にとっては謎の組織であるドメインのアドレスが表示されている。
この状況で「これはおかしい」と思うのは正しい。このシステムの利用を止めるか、一体どういうことになっているのか問い合わせをすることになるだろう。
仮に、県に連絡を取って、「そのドメインに委託しているのは事実だから大丈夫だ」という説明を受けたとしても、では、その謎の組織がどういう組織で、どの様な責任を持って電子申請システムを運用しているかの説明を求める事になるだろう *6
そういう説明をするのは面倒なので、面倒なことにならない様にアドレスバーを隠し、ステータスバーを隠し、ということになったのでは無いか。

なぜこれがいけないことなのか:

これがいけない理由が三つある。
まず、この様な方法で実際のドメインを隠して委託をすることは、サービス提供者側の説明義務の回避だ。もちろん委託する事を否定しているのではない。別ドメインでサービスをするのであれば、利用者はそこに疑問を持つのは当然であるし、疑問を持つべきである。この疑問に答える形で、委託した側の県側は説明責任を果たすべきではないか。それをJavaScriptの濫用によって他ドメインであることを隠蔽して回避している。
次に、このシステムはフィッシング詐欺耐性が弱くなる事は明らかだ。日常的にアドレスバーもステータスバーも隠されているのだから、ある日、偽物のサイトに誘導されていても気が付かないだろう。
最後に、この様なシステムの存在が社会全体のフィッシング詐欺耐性を弱くするという問題がある。この様に安易にアドレスバーやステータスバーを隠すのが当たり前になってしまえば、フィッシング詐欺を利用者として対策する事が非常に難しくなる。

こうすれば良かったのではないか:

まず、アドレスバー、リンク先、ステータスバーを隠すのは止めることだ。右クリックを禁止する必要もない筈だ。
もし、他ドメインで運用する必要があるのであれば、県側がその辺りの事情を説明する文書を用意して、利用者に説明すべきだ。隠して済む問題ではない。
あるいは、県のサブドメインで運用する解もある。この場合、pref.kochi.jpドメインの信用を一部委譲するわけだから、県と運営団体の間でしっかりした取り決めがなされる必要がある。

オレオレ中の認証局 Substantive test CA[http://takagi-hiromitsu.jp/diary/20050115.html#p01]:

証明書がLGPKIでないのは、この辺りの事情が関係しているのかも知れない。lg.jpドメイン以外でLGPKI AppCAの証明書を取得することは可能なのだろうか。可能だとしても、この様な任意団体に発行されるのだろうか。

なりすましは成立するか:

「なりすましという行為がそんなに簡単に成立するのか」という声があって、現実的にはそう簡単になりすましは行われないと思われているのでないか。
技術的な方法はいくつか知られている。 DNSに毒入れする方法があったし、 pharming(ファーミング)――オンライン詐欺は「釣り」から「農業」へ?[http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050209/155922/] の記事では、ウイルスによってhostsファイルを書き換える方法も指摘されている。
もしターゲットがローカルであれば、さらに簡単で、偽DHCPサーバを立ち上げる方法もあるし、嘘つきDNSを立ち上げる方法も考えられる。

こういう技術的な手法はシステムサイドのセキュリティ問題だが、アドレスバーを表示しない、確認しない文化になると、いくら上記の問題に対する技術的な対策を施しても、事実上、なりすましが成立してしまう。
例えば、Googleで、 「高知県電子申請システム」[http://www.google.co.jp/search?num=100&hl=ja&c2coff=1&client=firefox-a&rls=org.mozilla%3Aja-JP%3Aofficial&q=%E9%AB%98%E7%9F%A5%E7%9C%8C%E9%9B%BB%E5%AD%90%E7%94%B3%E8%AB%8B%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja] を検索して頂きたい *7
もし、これで上位に出てくるページが、「高知県電子申請システム」というページタイトルを付け、本物とそっくりのログイン画面を用意していたらどうなるか。
そこには、日常見慣れたアドレスバーもステータスバーも表示されないログイン画面が表示されるのである。これをフィッシングサイトだと見破れというのは利用者に酷ではないか。
ステータスバーも表示されないのだから偽証明書も要らないしアドレスはどうだったって良い。
攻撃者は、アドレスバーやステータスバーを隠したターゲットの偽サイトを作って、何らかの手法で著名な検索エンジンの上位に偽サイトを持ってくれば良い。

利用者として注意すること:

アドレスバーやステータスバーを隠そうとするサイトは疑って掛かる必要がある。本来表示されるべきものを隠すことによってセキュリティは向上しない。むしろ、隠す事によって危険が隠されていることが多い。もちろん隠しても危険は無くならない。
アドレスバーを隠すのは、道に空いた穴が危なく見えるからといって枯れ葉を被せて隠してしまう様なものだ。危険があることには変わりないし、穴に落ちない様に注意して歩いている人をも落とす落とし穴を作り出す行為である。

*1: 説明のページを読んでも何も記述がない様だ。もちろん、フィンガープリントの記載もない。ここでは、先のページを表示するために受け入れているが、普通はこういう証明書を受け入れてはいけない。試してみる場合は、自分が何をやっているか理解してからにして欲しい。
*2: ちなみにAltキーを押すと「Altキーは使用できません。」と表示される。
*3: Firefoxの場合、「右クリックは使用できません。」のダイアログは表示されるが、その後にちゃんとメニューが表示される仕様になっている。これは良い事だと思う。コンテキストメニューを奪われるのは不便だし、アドレスを確認しづらくなるのは、ここで述べている様にセキュリティ上も問題がある。
*4: その割には、「メンテナンスによるサービス停止情報」ページは、直接リンクを張っていたりして、場当たり的な対応が見える。
*5: 少なくとも、ページを調べた限りでは、団体の属性は表記されていなかった。
*6: これが任意団体でなくて、法人格をもっているなり何らかの形で責任を取れる事が分かる組織であれば、ここまで面倒な話にはならない。その組織が組織として責任を持って県から運用を委託されて運用しているという関係が分かれば良い。責任をとる人が分からないというのは困る。
*7: 現時点(2005/02/16 16:21)では、この日記が上位に来る様である。 面倒なことになりそうな気がするのでやらないけれども、この状況で、私がリファラを見て事前に誘導しようとした単語で検索した人にだけ偽物のページを表示するCGIを作って設置すれば、ログイン画面と見分けが付かない画面を表示する事は容易に可能だ。その人から見ると、「○○電子申請システム」を検索して、最初に出てきたページをクリックすると、ちゃんと(?)いつものログイン画面が出て、安心してIDとパスワードを入力することになる。

■2RSS関連[メモ][hns] このエントリーをはてなブックマークに追加

■3ぐる[ぐる] このエントリーをはてなブックマークに追加

ニフティ、ついにパソコン通信の歴史に幕。ワープロ・パソコン通信サービスを終了[http://headlines.yahoo.co.jp/hl?a=20050216-00000002-rbb-sci]:

あぁ遂にという感じです。無料時代のPC-VAN、DDX経由のASCII、Nifty、草の根BBS、インターネットという様に付き合ってきたのですが、一つの時代の終焉を感じます。 「昔、パソコン通信っていうのがあってね。」という感じになるのかも知れません。
次は、「昔、ダイヤルアップ接続っていうのがあってね。」でしょうか。 テレホーダイ[http://e-words.jp/w/E38386E383ACE3839BE383BCE38380E382A4.html] を覚えていますか?

以上、1 日分です。

指定日の日記を表示

前月 2005年02月 翌月
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28

最近の日記

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

2018年12月18日

続・Echo Dotがやってきた

2018年12月17日

Echo Dotがやってきた
Amazon Product Advertising API

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project