2005年04月12日(火) << 前の日記 | 次の日記 >>
これまでの04月12日 編集

■1SYA!nikki[SYA!nikki]次の記事 >> このエントリーをはてなブックマークに追加

0050 ばんごはん:

サモサのような何かを作った。
ばんごはん

■ 関連記事

■2フィッシング詐欺防御ソフト関連のコメント[セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

コメントをいくつか頂いた。こういうコメントを頂くのはありがたい。 私がきちんと理解できていない場合は指摘して頂けるのは助かるし、 逆のケースであってもうまく説明できていない事が分かるからだ。
以下で指摘頂いた記事は、うまく説明できていなかったと感じたので、補足したいと思う。

「フィッシングを防ごうという姿勢は評価してもいい」[http://www.nantoka.com/~kei/diary/board.cgi?act=read&msgid=221]:

内容はともかく、フィッシングを防ごうという姿勢は評価してもいいかもしれないです。
という意見は他でも聞くのだが、少なくとも、ここで取り上げている東京スター銀行については、これに賛成しかねる。
「結局、アドレスバーと証明書を確認することに尽きる」[http://www.nantoka.com/~kei/diary/?200504a&to=200504073S5#T200504073S5] あたりから書いたのだけれども、東京スター銀行の場合は、本来であれば真っ先に確認すべきアドレスバーと証明書を確認することができない様にしている。当然、証明書の確認の重要性は説明していないし、そもそも認識していないのであろう。
また、 ログイン画面においては第三者のサイトからスクリプトの挿入を許している[http://www.nantoka.com/~kei/diary/?200504a&to=200504073S6#T200504073S6]
結局、サーバ側で行うべき対策をやらずに、 これ入れればセキュリティ対策はバッチリ[http://www.nantoka.com/~kei/diary/?200504a&to=200504085#T200504085] とばかりにソフトウェアを ユーザ側の危険負担で導入させている訳だ。とにかく客を安心させれば良いとしか思っていないのだろうか。
セキュリティ関する知識が無いのが原因だとしても、「日本企業初!!のセキュリティ」を信用して、被害に遭うのが利用者であることを考えると、事業者として知識が無かったでが許されることではないと考える。

「『SFSとマークする』と『デジタル署名する』は直交した概念」[http://www.nantoka.com/~kei/diary/board.cgi?act=read&msgid=219]:

些細なことですが、ActiveXコントロールにおいて、「SFSとマークする」と「デジタル署名する」は直交した概念かとおもいます。
技術的には全くその通りなのだけど、署名したものを一般に配布するとなると…という論を組み立てれば良かった。

■ 関連記事

■3 続・「スクリプトを実行しても安全だとマークされているActiveXコントロール」は安全か[http://www.nantoka.com/~kei/diary/?200504a&to=200504071#T200504071]<< 前の記事 このエントリーをはてなブックマークに追加

コメント[http://www.nantoka.com/~kei/diary/board.cgi?act=read&msgid=219] を頂いたので加筆。
ActiveXコントロールは一度パソコンの中に組み込まれると、 どこからでもActiveスクリプトを通じて起動することができる。
例えば、 UFJカード[http://www.nantoka.com/~kei/diary/?200504a#T200504041]東京スター銀行[http://www.nantoka.com/~kei/diary/?200504a#T200504073] が導入を勧めたフィッシング詐欺対策ツールだが、例えば、
<OBJECT ID="obj" CLASSID="CLSID:[clsid]" codebase="[url]">
    <PARAM NAME="[param]" VALUE="[value]">
</OBJECT>
と言った感じのコードをhtml中に書けば、誰でも起動できる。上のサンプルで角括弧で囲った中身は、秘密の値ではなく、実際にこのソフトを起動しているページに行けば見ることができる。
だから、私がこのページのhtmlに適当な値を入れて、上記のコードを書いておけば、 いきなりフィッシング詐欺対策ソフトが起動して、閲覧者をびっくりさせるいたずらをすることは可能である。多分。
だとすると、「任意のファイルを盗み出すActiveXコントロールを作成して、ページに置いておき、そのURLをメールで知らせさえすれば、簡単に他人のファイルが盗み出せるのではないか」と考えた方は鋭い。実際にこの方法で詐欺を行った人が既にいる。
そこで、その様な悪意のあるActiveXコントロールをインストールしてしまわないように、様々な対策が採られた。しばらくの間はいたちごっこが続いたが、無署名のActiveXは原則として取り込まないという方針になって、この問題に関しては、一応の解決を見た様である *1
ActiveXコントロールの作成者が証明書を取得して、自分が作成したActiveXコントロールに自分が確かに作成したものだと署名をするわけである。署名がされていれば、署名を確認することによって、誰が作成したActiveXコントロールか確認することができるし、偽物をインストールしてしまう心配はない。
さて、「直交する概念」のもう一つの方。「スクリプトを実行しても安全だとマークされているActiveXコントロール」である。
ActiveXコントロールが組み込まれると、どのページからでも起動できるということを書いた。インターネットエクスプローラーのデフォルトの設定では、一切の警告なく、そのActiveXコントロールが起動する。例えば、コントロールの作成者あるいは配布者とは全く関係の無いページでもコントロールは当たり前の様に起動する。
例えば、あるフィッシング詐欺対策ソフトは、一度組み込むと、このソフトを利用している複数のサイトで自動的に起動できる様になる *2 。何度もダウンロードしなくて良い様になっている訳だ。
「ActiveXコントロールが全く任意に起動されるのだったら、悪意のある第三者が勝手に自分のサイトで、既に入っているActiveXコントロールを起動する心配があるのではないか」と考えた方は鋭い。
実はこれに対応するために、「スクリプトを実行しても安全とマークされているコントロール(SFS)」という概念があり、「スクリプトを実行しても安全とマークされているコントロール」のみが、第三者のページから勝手に起動されることを許される仕組みになっている。
このマークを誰が付けるかと言えば開発者だ。
ActiveX コントロールでは、コントロールの作成者の身元についての正確な識別、コード署名後にコントロールに変更が加えられていないことの検証、およびそのコントロールは安全であるという確認を要求することでこの問題を解決しています。このような解決方法をとっているため、ActiveX コントロールはオペレーティングシステムの能力を完全に利用することができますが、コントロールをインストールして使用しても安全だということを保証するために、認証機関から証明書を取得するという厳格な方法にも依存しています。
(中略)
初期化またはスクリプトを実行しても安全とマークされているコントロールは、 コントロールの初期化にどのような値を使用してもユーザーのシステムに損傷を与えることがなく、どのような方法で初期化を行ってもユーザーのセキュリティを脅かすことはないと、開発者が保証していることになります。

ActiveX コントロールの開発者は、そのコントロールが本当に安全かどうかを確認してから、安全だとマークする必要があります。たとえば、少なくとも次の点について評価する必要があります。

・メモリ リークやメモリ領域の破壊を招く恐れのある、配列のインデックス範囲オーバーや、メモリの不適切な操作を行わないこと。
・初期化、メソッドのパラメータ、プロパティ設定関数など、すべての入力を検証および修正すること (許容 I/O の検証と防御のメソッドを実装すること)。
・ユーザーに関するデータまたは、ユーザーから提供されたデータを悪用しないこと。
・さまざまな環境でテストされていること。
そして、例えば VeriSign[http://www.verisign.co.jp/] は、コード署名に際して、
他の当事者によるデータ、ソフトウェア・システムの使用または操作に損害を与え、不正目的の使用を許し、または妨害することが合理的に予想されるプログラム、アプリケーションによって自動的に変更されるコード、ウイルスまたはデータを排除するために、業界標準に合致した合理的な配慮を尽くしたこと。
を要求している。
この仕組みがActiveXの安全性を支えているのだが、正しく運用されているかどうかという点には疑問が残る。
「安全だ」とマークした上で署名を行ってActiveXコントロールを配布している開発者は、どの程度、安全性を確信しているのだろうか。
世の中には、適当にマークして署名する開発者がいるかも知れないから、ActiveXをインストールする際には、開発者の信頼性まで評価しなければならない。これが一般ユーザに可能だろうか *3
ちなみにマイクロソフトは、先ほどと同じ文書の中で、
誤用されないよう、十分な防護力を備えたコントロールを作成することはプログラマにとって比較的簡単なことですが、他の作成者やプログラマによって作成されたスクリプトと自分の作成したコントロールが一緒に使用されたときの 安全性を保証することは不可能です。
と言っている。
*1: 但し、 高知県[http://takagi-hiromitsu.jp/diary/20050306.html#p01] の例に見る様に、セキュリティ設定を変更させることが一般化すると、攻撃者が同様にセキュリティを変更させる詐術の被害に遭う可能性が高まるし、この様な危険な設定にしたまま戻し忘れて被害に遭うことも考えられる。
また、実装上の問題によって未署名のActiveXコントロールが取り込まれる可能性は否定できない。
*2: 個別に「ソフトウェア使用許諾契約書」のぺージが出てくるが、これは各サイトについて、クッキーを利用して表示するかどうか判断しているに過ぎない。
*3: 幸いなことに、「署名」されているのだから、署名者をどれだけ信用できるかという問題に置き換えることができる。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年04月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project