2005年04月04日(月) << 前の日記 | 次の日記 >>
これまでの04月04日 編集

■1 「セキュリティのため」ActiveXコントロールの導入を勧めるUFJカード[http://www.ufjcard.com/release/release081.html][セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

何か新しいハードなりソフトを導入すると安全になるというのは、大体において幻想だ。 しかも、ActiveXは確かに、
お客様はUFJカードホームページ画面の起動ボタンをワンクリックするだけで、安全な環境で各種サービスをご利用いただけます。
「ワンクリックするだけ」かも知れないが、裏ではアプリケーションのダウンロード、インストール、そして実行という何でもありの事が起きている。
つまり、悪意あるいはセキュリティホールのあるActiveXプログラムをインストールしたが最後、その端末はどのページにアクセスしようと常に危険に晒され続ける訳だ。
一昔前にはこれを悪用して、ダイヤルアップ接続先を、ダイヤルQ2や国際電話に勝手に変更して、高額な課金をさせるという犯罪がずいぶん横行して、社会問題になった。
今ではこの方法は、ダイヤルアップ接続自体が少なくなっているので犯罪として成り立ちにくいが、キーロガーを仕込んだりしてクレジットカード番号やパスワードを盗み出す犯罪や、証明書やDNSを勝手に書き換えて、完璧なフィッシングサイトを作る出す事に悪用される心配がある。
という訳で、ActiveXをインストールするのは非常にリスクを伴うので、普段は必ずダイアログを出す設定にして、例え署名付きActiveXでも出所をきちんと確認する様にすべきだ。もちろん、ActiveXとは無縁のブラウザを使った方が安心だ。

フィッシングサイト詐欺に効果があるのか:

とは言え、一体どういうものか興味はあるので、IEを立ち上げて *1 アクセスしてみた。
UFJカードトップページ
トップページに「ウイルスや不正アクセスからガード!」という案内が出ている。
これをクリックすると、
セキュリティレベルを「中」にせよ
※Internet Explorerのお使いの方は、セキュリティーレベルを一時的に「中」に変更するか、信頼するサイトにこのサイトを追加してください。
という表示が出てくる。これは、ActiveXを実行しない様に設定しているからで、仕方がないので「中」に設定してアクセスしてみる。これは危険なので、後で忘れない様に戻さないといけない。
インストールできません

以下の点についてご確認ください。

1.Internet Explorler でインストールしていますか?
nProtect のインストールは ActiveX を利用しています。そのため、ActiveX が利用できるバージョンである Internet Explorler 以外のブラウザではインストールできません。

2.Internet Explorler のセキュリティポリシーは「中」または「低」になっていますか?
セキュリティポリシーが「高」になっているとActiveXのダウンロードができないため、インストールできません。

3.他社のセキュリティ製品が既にインストールされていますか?
nProtect は 他社製品が入っていても使用は可能ですが、他社製品の設定によっては ActiveX のインストールが正常に行えない場合があります。お使いの他社製品のマニュアルを参照し、設定を変更してください。

ここはドコ?:

説明のページが出てくるのですが、
ここはドコ?
良く関係が分からないアドレスになぜか接続される。一応、「UFJカードホームページ」とか書いてあるが、 これを信用してActiveXをインストールする人は、フィッシング詐欺に引っかかる人なので要注意だ。
そういう時は、ActiveXの署名を確認すると良い。ActiveXの場合、自由に動作するプログラムを組み込むわけだから、プログラムの配布者が署名をする仕組みになっている。
署名がきちんと行われていれば、その配布者を信用する限り、プログラムも信用できるという仕組みになっている *2 。もちろん 信用できない配布者が配布しているActiveXプログラムはたとえ署名されていても、インストールしてはいけない*3

わたしはダレ?:

セキュリティ警告が出てくるので、発行者を確認してみる。
わたしはダレ?発行先:INCA Internet. Co., Ltd.
「INCA Internet. Co., Ltd.」という会社名が表示されるのだけど、これは一体どういう会社だろうか。
株式会社UFJカード(本社:東京都千代田区、社長:安藤光輶、以下 UFJカード)は、2005年4月1日(金)より、ネットムーブ株式会社(本社:東京都渋谷区、社長:澤田富仁)の個人情報保護ツール「nProtect Netizen(エヌプロテクトネチズン)」をホームページに導入いたしました。
プレスリリースには全く登場しない会社である。

韓国? SEOUL? インカインターネット?:

ということで、証明書の内容を確認してみると、
C=KR,S=GYEONGGI-DO,L=SEOUL,O=INCA Internet. Co., LtdDNS Name=www.nprotect.com
kei% openssl x509 -text -in nprotect.cer
Certificate:
 Data:
 Version: 3 (0x2)
 Serial Number: 2152115 (0x20d6b3)
  Signature Algorithm: md5WithRSAEncryption
  Issuer: C=ZA, O=Thawte Consulting (Pty) Ltd., CN=Thawte Code Signing CA
  Validity
   Not Before: Jan 26 08:35:50 2005 GMT
   Not After : Feb 23 07:42:07 2006 GMT
 Subject: CN=INCA Internet. Co., Ltd., O=INCA Internet. Co., Ltd., OU=Development Department, C=KR, ST=GYEONGGI-DO, L=SEOUL
(中略)
 X509v3 Subject Alternative Name:
  DNS:www.nprotect.com
 X509v3 CRL Distribution Points:
  URI:http://crl.thawte.com/ThawteCodeSigningCA.crl
とか出てくる。
韓国? SEOUL? インカインターネット? 謎は深まるばかりだ。
「www.nprotect.com」にアクセスしても白紙ページが出てくる。

www.nprotect.comが白紙ページなのは…:

FireFoxでアクセスしてたのがいけなかった様で、トップページの言語振り分け用のJavaScriptが、FireFoxを想定していない作りだったのが原因の様だ。

このActiveXを導入しても安全でしょうか?:

全く安全に思えなかったので、導入は断念。
どこが作って、誰の責任で配っているか分からない様なActiveXプログラムを導入するためには、VirtualPCか何かで捨てても良い環境を作るしかない。
質問一覧[http://nprotect.netmove.co.jp/service/npnv4/ufj_card/support/qalist.html] を見ると、
どのようにしてフィッシングサイトを見分けるのですか?

nProtect Netizen には、 nProtect Netizen を起動したホームページに関連のある IP アドレスが予め登録されています。もしフィッシングサイトをブラウザで開いた場合、nProtect Netizen はこのフィッシングサイトの IP アドレスを調べ、予め登録されている IP アドレスの中にそのアドレスが見つからない場合はメッセージダイアログを表示させます。
と書いてあり、UFJカードのトップページには、
※ご利用には毎回起動が必要です。
フィッシングブロック【新機能】

URL を本物と見せかけ、大事な個人情報を横取りしようとするウェブサイトを「フィッシングサイト」と呼びます。 「nProtect Netizen」は起動している間、「nProtect Netizen」を起動させたウェブサイトとは関係のない「フィッシングサイト」等のURLをブラウザが開こうとした際に注意を促すメッセージダイアログを表示させます。このメッセージにて、お客様は上記サイトが正規のサイトかどうかを、簡単に判断することができます。
と書いているところを見ると、実際に試していないので全くの勘違いかも知れないが、
  • 予め(本物の)UFJカードのトップページから、「nProtect Netizen」を起動しておいて、
  • UFJカードページを見ている内に、なぜかフィッシングサイトにアクセスしてしまった場合に、
  • 予め登録されているIPアドレスの中にそのアドレスが見つからないので、
  • メッセージダイアログを表示
するんじゃないかという気がしてきた。まさかそんな筈はないと思うけど。
また、昨今、問題となっているフィッシング詐欺に対しての有効な対策機能である「フィッシングブロック」機能も備えております。フィッシング対策機能がついた製品は他社にもありますが、それらは警告を促すだけにとどまり、最終的にはお客様の意思決定に委ねられているため、抜本的な問題解決には至っておりませんでした。しかし、「nProtect Netizen」の「フィッシングブロック」機能は、お客様がアクセスしようとしているサイトが、正規のUFJカードのサイトであるかどうかを自動的に検知し、簡単に判別する画期的なツールです。
このプレスリリースを書いた人は、「フィッシング詐欺」が何か分かっているのだろうか。
もちろん、ActiveXを組み込むリスクよりも効果の方が大きいという判断をして、こういうツールの導入を顧客に勧めているのだから、まさか、 売り込み文句をスルーしてプレスリリースにしている筈はあるまい。
こんなことができたら確かに「画期的」だと思うのだけど、前述の事情でインストールしていないので試しようがない。Virtual PCを用意するしかないか。

インストールには管理者権限が必要:

ちなみに、インストールするためには、
管理者権限のないアカウントでインストールできますか?

管理者権限(Administrator権限)のないアカウントでは、インストールができません。権限を変更の上、ご利用ください。
なので、結構な覚悟が必要だ。

正規サイトのようですが、メッセージダイアログが表示されます:

正規サイトのようですが、メッセージダイアログが表示されます

Internet Explorer にツールバー(Google ツールバー、Yahoo ツールバーなど)をインストールしている場合、正規のサイトを開いているにもかかわらず、フィッシングブロックのメッセージダイアログが表示されることがあります。これは、ツールバーが独自の通信を行おうとするために発生する現象で、毎回発生するとは限りません。 メッセージダイアログが表示された後、ダイアログを閉じてページを再読み込みし、メッセージダイアログが再び表示されなければ、そのページは正規サイトになりますのでご安心ください。
この手の警告ソフトを作る時に気を付けないといけないのは、「偽の警告」をしてしまわないことだ。
偽の警告が度々発生すると、ユーザはそれに慣れてしまい、いずれ 「警告がでたら、『はい』を押す」[http://takagi-hiromitsu.jp/diary/20050111.html#p01] が習慣になってしまう。 そして、警告がでてOKを押したという事さえ忘れてしまう様になる。

勇気あるヒトバシラー:

な方がいらしたら、ぜひトラックバックやコメントなんかで教えて下さい。
例えば、
KeyCrypt 機能をONにするとどうなりますか?

KeyCrypt機能をONにすると、Internet Exploler上でWebサイトのサービスをご利用になる際、キーボードから入力する時点で内容が暗号化されるようになります。「キーロガー」など入力内容を記録する不正プログラムがパソコン内に潜伏していても、記録内容を解読できず、情報流出を無力化できます。
って、本当にひょっとしてだけど、 「ランダムな文字とバックスペースを交互に送り込んでるんだけなんじゃないのか」とか、色々興味は尽きません。

UFJカード不正利用事件[http://www.ufjcard.com/news/cont_sashikae.html]:

深読みすると、不正利用事件があったから、「何か対策しないといけない」と思ったのかも知れないけれども、実施する対策は慎重に評価すべきだ。「何か」を導入すれば良いというものではないし、クライアント側にツールを導入しても、「ホームページのセキュリティを強化」したことにはならない *4

関連記事[http://www.nantoka.com/~kei/diary/?200504a&to=200504073S8#T200504073S8]:

2005年4月8日付記。
この記事に関連するリンク。
*1: もちろん、ActiveXなのでFireFoxには対応していない。
*2: プログラムにセキュリティホールがあったら当然ダメだし、署名はそんなことは証明してくれない。あくまで、その会社が配布しているかどうかしか検証できない。
*3: 何らかの証明書を手に入れるのはさほど難しくないし、マイクロソフトの証明書でさえ、 第三者に騙し取られた[http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20010323/1/] ことがあるから、証明書自体の信頼性も検討しないといけない。もはやPKIの世界にはなっていない気がする。
*4: 当然のことだが、例えば、サーバからの情報漏洩の危険は全く小さくならないし、改竄のリスクも全く小さくならない。

■ 関連記事

■2nProtect:Netizen導入サイト<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

東京スター銀行[http://www.tokyostarbank.co.jp/]進研ゼミ[http://www.benesse.co.jp/zemi/]JCB[http://www.jcb.co.jp/] が導入済みの様だ。
詳細未確認だけれども、 リネージュ2でも使われている[http://ch.kitaguni.tv/u/350/Computer/PC/0000194201.html] とのこと。
みんな信用して導入しているのか知らん。ひょっとして私が全然知らないだけで、実はこのソフト、世の中では既に非常に有名で、「入れたら安心」っていうソフトなんですかね。
だからと言って、ActiveXで入ってくるのは責任の所在が分からなくなって、非常に恐ろしいんですけれども。

■ 関連記事

■3 メールに書かれたページにアクセスする前に、まずトップページにアクセスしてください。[http://npro-shop.jp/docs/direct/news/news_050324.html]<< 前の記事 このエントリーをはてなブックマークに追加

「東京スター銀行ホームページ」フィッシング詐欺対策機能を持ったnProtect Netizenサービス開始[http://npro-shop.jp/docs/direct/news/news_050324.html]
このプレスリリースは「東京スター銀行は」で始まる割に「ネットムーブ株式会社」名になっていて、誰が発表しているのか不明瞭だけど、ヒントを見つけた。
■使用方法

例:東京スター銀行のお客さまのもとに、東京スター銀行を装ったフィッシング詐欺のメールが届いたとします。メールに書かれているURLがフィッシングサイトかどうかを判断したい場合、以下のようにします。

1.東京スター銀行のホームページ(http://www.tokyostarbank.co.jp)にアクセスし、「nProtect Netizen」を起動します。
※メールに書かれているURLを直接クリックしないでください。
※起動後「フィッシングブロックボタン」をクリックして機能をONにしてください。

2. 別のブラウザウィンドウを立ち上げ、メールに記載されているURLをクリックしてそのサイトを開きます。もしこのときに、『東京スター銀行とは関連のないホームページにアクセスしました。』というメッセージダイアログが表示されたら、そのサイトはフィッシングサイトである可能性があります。
ということだ。導入した企業のセキュリティ感覚では「画期的」だったのだろうか。こんなのを確認するために、ActiveX稼働させる方がよほど危険な気がするのだけれども。
というか、そういうメールでフィッシング詐欺に遭う人が、東京スター銀行のホームページに安全にたどり着けるのだろうか。
偽サイトに誘導されて、偽ActiveXソフト導入させられたらそれこそ一大事だ。
当たり前のことだけれども、何よりも「アドレスバーを確認すること」「セキュアな情報を扱う時は、httpsであることを確認すること」「httpsならば証明書を確認すること」だろう。
そうでないと、例えば
【緊急】登録情報を至急変更してください【大変】

緊急セキュリティ対策のために、お客様のログイン情報を至急ご確認ください。
もし、ログインできない等の異常がありましたら、以下のフォームで至急ご連絡下さい。

1.なんとか銀行のホームページ(http://www.bank.nantoka.com)にアクセスし、「nProtect Netizen」を起動します。
※以下のURLを直接クリックしないでください。
※起動後「フィッシングブロックボタン」をクリックして機能をONにしてください。

2.別のブラウザウィンドウを立ち上げ、以下のURLをクリックしてそのサイトを開きます。 もしこのときに、『なんとか銀行とは関連のないホームページにアクセスしました。』というメッセージダイアログが表示されたら、そのサイトはフィッシングサイトである可能性があります。

ログイン確認ページ:http://www.bank.nantoka.com/Emergency/login-check.cgi
フィッシングメールの例(もちろんhtmlメール)
というメールに簡単にだまされてしまいかねない。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年04月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project