★阿修羅♪ 現在地 HOME > 掲示板 > IT1 > 151.html
 ★阿修羅♪
次へ 前へ
Internet Explorerが危険な理由、その他セキュリティ関連。
http://www.asyura.com/0306/it01/msg/151.html
投稿者 クエスチョン 日時 2003 年 8 月 10 日 14:12:56:WmYnAkBebEg4M

Internet Explorerが危険な理由、その他セキュリティ関連。
http://arena.nikkeibp.co.jp/tec/security/gaz/025/

 前回、「安全なWebブラウザーってあるの?」で取り上げた「Opera」。
「Operaにだってセキュリティホールはあるのでは?」と不思議に思った
人もいるだろう。実は「Operaだから安全」というわけではなく、
「Internet Explorerではないから安全」なのだ。前回IEが危険である理
由は、IEのユーザー数が圧倒的に多いのでクラッカー達に狙われやすいと
説明した。しかし、実はもう一つ大きな理由がある。

 WindowsとIEは切っても離れられないくらい密接な関係にあり、IEから
Windowsに組み込まれている機能を操作することもできる。IEからWindows
Updateでファイルの更新状況を確認できるのも、Windowsの機能を使って
パソコンの情報を収集しているからだ。

▲Internet Explorerの機能拡張技術が潜在的危険を招いている

 以上の仕組みは、IEならではの便利さであり、弱点でもある。もちろん、
この仕組みはクラッカーたちの作った悪意のプログラムでは簡単に利用さ
せないための工夫がなされている。しかし、その工夫がセキュリティホー
ルの存在によって崩れてしまう。便利な機能を守っている「城壁」が破れ
れば、後はやりたい放題というわけだ。

 同じ「城壁」を破るなら、破った後の成果が大きい方がいい。クラッカ
ー達はそう考える。NetscapeやOperaには上記の仕組みがない。そのため、
城壁を破っても、次にWindowsの機能を悪用するための攻撃プログラムが
必要になる。一方、IEはセキュリティホールさえ見つけてしまえば、IEの
機能を使って攻撃するのが比較的簡単ときている。だからIEが危険なのだ。

(2002/02/20)


クレジットカード番号の入力、その前に(前編)
http://arena.nikkeibp.co.jp/tec/security/gaz/014/

 オンラインショッピングの利用するときは、クレジットカード番号や送
付先といった個人情報を入力するはず。このとき、ブラウザーの右隅
(Netscape Communicatorでは左隅)にある錠前のようなアイコンに注意
を払っているだろうか。「知らない、初耳だ」という人は、ここから先を
よく読んでほしい。

▲錠前アイコンが表示されないページでクレジットカード番号を入力のは
危険!

 錠前のようなアイコンは、ブラウザーで見ているサイトが「SSL」に対
応しているかどうかを示すものだ。SSLというのは、セキュア・ソケット
・レイヤーの略で、Webサイト側とユーザー側とのデータやり取りを、暗
号化するための仕組み。暗号化することで、やり取りするデータを誰かに
盗まれても情報が簡単に解読できないようにしている。逆に言えば、SSL
に対応しないサイトの場合は、第三者に盗聴されやすいのだ。
 錠前アイコンは、フレームで区切ったページでは、選択されているフレ
ーム(親フレーム)を判断している。そのため、クレジットカード番号を
入力するページが、実際にはSSLで保護されているかわかりにくい。この
場合、IEであればページの上で右クリックをし、表示されたメニューから
「プロパティ」を選ぼう。Netscapeであれば、同様に右クリック・メニュ
ーから「情報を表示」または「ページ情報の表示」を選ぶ。開いたダイア
ログに、IEの場合には「SSL」、Netscapeの場合には「暗号化」という語
句があればSSLに対応している。

(2001/10/05)


被害を受けても泣き寝入りしない
http://arena.nikkeibp.co.jp/tec/security/gaz/022/

 パーソナルファイアウォールを使っていて、警告を受けたことがあるだ
ろうか。もっとも警告自体に実害はなく、「攻撃を受けたが、防御しまし
た」という内容のものがほとんどだろう。めったにないが、警告に「パソ
コンのデータが盗まれたり改ざんされた可能性がある」という場合には関
係各所への連絡を試みてほしい。報告することで、データが収集され、今
後のセキュリティ対策に役立ててもらえる。また、被害が大きいときは、
攻撃側を訴えるための相談に乗ってくれることもある。

 まずは
情報処理振興事業協会(IPA)
http://www.ipa.go.jp/security/index.html
に連絡してみてはどうだろうか。受付はメールで、しかも自由記入の形式
なので、連絡しやすい。
 ネットワークに詳しい人であれば、
コンピュータ緊急対応センター(JPCERT/CC)
http://www.jpcert.or.jp/form/
への報告も検討してほしい。難点は、報告用の書式に専門用語が並び、や
や敷居が高いこと。知識と余力のある人向けと言えるだろう。

 上記の二カ所については、個人的な相談よりも、データを収集し公共に
利するものであって、自分に対して効果的な解決方法を提供してくれるケ
ースは少ない。

 現在では、不正アクセスに刑事罰が適用されるようになっている。被害
の大きさによっては、具体的に証拠を提出し、相手を告訴することができ
る。そういうときは、
警察庁
http://www.npa.go.jp/hightech/soudan/hitech-sodan.htm
への連絡が効果的。上記二機関と違って、電話で相談を受け付けている。
捜査権のある機関のため、プロバイダーへのアクセス履歴を含めた広範囲
な情報から容疑者を特定してくれる。ちなみに、名誉毀損や著作権侵害な
ど、システムへの被害以外の攻撃に対しても有効な届け出窓口でもある。

(2002/01/22)

 次へ  前へ

IT1掲示板へ


フォローアップ:


 

 

 

 

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。