現在地 HOME > IT7 > 383.html
★阿修羅♪
|
現在地 HOME > IT7 > 383.html
★阿修羅♪
|
|
| Tweet |
(回答先: pharming(ファーミング)――オンライン詐欺は「釣り」から「農業」へ?【itpro】 投稿者 元SEのおじさん 日時 2005 年 2 月 10 日 19:20:46)
文中のポイント箇所。
>なぜこの自衛策のことをもっと書かないのだろうか。「ファーミング」の
>話はここ最近あちこちで報道されているが、錠前アイコンを見よという話
>はどこでも出てなかったような気がする*3。
>
>(略)
>
>この書きぶりだと、SSLが使われていることの確認が、DNSスプーフィング
>攻撃にのみに有効な対策のように読めてしまうが、hosts書き換えにも有
>効なのだ。
>
>(略)
>
>偽サイトで警告が現れるという話をぜひ書いてもらいたいものだ。どんな
>場合にもこの警告が出たら「いいえ」を押すという習慣を徹底する。仮に
>「はい」を押しても、その先の画面は偽かもしれないと意識して、情報は
>入れない。
>
>そして、日本の自治体はこの警告を出しまくっていると。
>
>(略)
>
>上では、ファーミング詐欺サイトでないか見分けるために、錠前アイコン
>が、ブラウザの警告なしに現れているかを確認せよという話を書いたが、
>ファーミング詐欺師達がユーザに踏ませるトロイの木馬が、hostsを書き
>換えるのと同時に、偽のルート証明書までインストールしてしまっていた
>ら、これは有効な自衛策とならない。
>
>
>※注意書きの所で
>特定の認証局を信じたくないときは、削除するのではなく、証明書を表示
>して、「詳細」タブで「プロパティの編集」ボタンを押し、「証明書の目
>的」のところで「この証明書の目的をすべて無効にする」を選択すればよ
>い。
2005年02月12日
■ ファーミング詐欺と区別がつかない自治体電子申請サイト【高木浩光@自宅の日記】
http://takagi-hiromitsu.jp/diary/20050212.html#p01
日経IT Proに勝村氏の「記者の眼」が出ていた。
* pharming(ファーミング)――オンライン詐欺は「釣り」から「農業」へ?, 勝村幸博, 日経IT Pro 記者の眼, 2005年2月10日
pharming(栽培、耕作)というのは、なかなかよいネーミングではないかと思った。勝村氏は、ベンダーのセールストークということを気にしているようだけども(私もフィッシング対策でアドホックな対策技術のビジネス展開には疑問を感じるが)、フィッシングでないものまでもフィッシングと呼ぶよりはよいのではないか*1。
勝村氏は、おそらくメディア記者の中で最もセキュリティ話に強い記者さんではないかと思う。かなりマニアックな話題が出てくることもあり、技術的に深く突っ込んで解説されていることが多いし、間違ったことが書かれることが少ないし、ベンダーの宣伝に踊らされることもない。が、足りないところもあるので、突っ込んでおこう。
今回の話題は、
具体的には,(1)ウイルス(ワーム)などを使って,クライアントのhostsファイルを書き換える,(2)DNSサーバーに虚偽の情報をキャッシュさせる(これは「DNSポイズニング」と呼ばれる)――など。(略)
ユーザーとしては,「メール中のURLをクリックせずに,自分でアドレス・バーにURLを入力する」といった,フィッシング対策の一つを実施しているにもかかわらず,偽サイトへ誘導されてしまうのだ。ブラウザのアドレス・バーには,正規のURLが表示されているので,偽サイトだと見抜くのが難しい。
pharming(ファーミング)――オンライン詐欺は「釣り」から「農業」へ?, 勝村幸博, 日経IT Pro 記者の眼
という話であるが、そのケースであれば、ブラウザの錠前アイコンを確認すればよい。そもそも、フィッシング詐欺に遭って困るような情報を入力するときは、通信が暗号化されていることを確認するのが基本だ*2。
hostsの書き換えで誘導される偽サイトは、ドメイン名は本物であるのだから、本物ドメイン名でのSSLのサーバ証明書を、詐欺師達は持つことができない(認証局がミスをしない限り)ので、もし https:// ページになっているなら、必ずブラウザが警告を出す。
偽サイトがよそのサイト用の正規のサーバ証明書を使っているなら、IEでは「セキュリティ証明書の名前が無効であるか、またはサイト名と一致しません」と出るし、偽サイトがサイト名を一致させようとすれば、偽の認証局から発行するしかないので、「このセキュリティ証明書は、信頼する会社から発行されていません」と出る。Firefoxならば、「あなたの個人情報を入手するために www.example.co.jp であると偽装しているサイトに接続しようとしています」とズバリそのものの警告が出る。
なぜこの自衛策のことをもっと書かないのだろうか。「ファーミング」の話はここ最近あちこちで報道されているが、錠前アイコンを見よという話はどこでも出てなかったような気がする*3。
いちおう、勝村氏の記事でも、最後の部分で、証明書をチェックという話は出てきている。しかし、
また,DNSサーバーに虚偽の情報をキャッシュされた場合などに備えて,個人情報などを入力するページでは,SSLが使われていることを確認するとともに,ディジタル証明書の内容をチェックしたい。DNSポイズニング攻撃などを受けないように,DNSサーバーの管理者がきちんと対策を施すことも重要だ。
pharming(ファーミング)――オンライン詐欺は「釣り」から「農業」へ?, 勝村幸博, 日経IT Pro 記者の眼
この書きぶりだと、SSLが使われていることの確認が、DNSスプーフィング攻撃にのみに有効な対策のように読めてしまうが、hosts書き換えにも有効なのだ。
それに、DNSポイズニング攻撃は、DNSサーバの管理でどうにかなるかもしれないが、それ以外のDNSスプーフィングもあり得て、そちらは脆弱性が原因ではなく、盗聴されるのと同じようにあり得る話なので、管理で防ぐ話ではないのではないか。そうした攻撃があり得るため、(フィッシング、ファーミング以前に) SSLの確認が必要になっているわけで、微妙に誤解があるように読める。
偽サイトで警告が現れるという話をぜひ書いてもらいたいものだ。どんな場合にもこの警告が出たら「いいえ」を押すという習慣を徹底する。仮に「はい」を押しても、その先の画面は偽かもしれないと意識して、情報は入れない。
そして、日本の自治体はこの警告を出しまくっていると。
■ そのルート証明書は本物?それともファーミング用?
上では、ファーミング詐欺サイトでないか見分けるために、錠前アイコンが、ブラウザの警告なしに現れているかを確認せよという話を書いたが、ファーミング詐欺師達がユーザに踏ませるトロイの木馬が、hostsを書き換えるのと同時に、偽のルート証明書までインストールしてしまっていたら、これは有効な自衛策とならない。
ということは、ファーミング詐欺が流行りつつあるという今、求められていることは、Windowsの「信頼されたルート認証機関」に入っている各証明書が、本物かどうかを確認する手段を確立することであるはずだ。
偽認証局の証明書は誰にでも作れ、認証局の名前は自由につけられるので、見分ける手段は、フィンガープリントしかない。
現状では、一個一個フィンガープリントを目視で照合するしかないのかもしれないが、そのために、正規のフィンガープリントの一覧表というものが必要だが、どこかにあるのだろうか。
近いうちに、自動でチェックするツールが必要になるだろう。*4
しかし、LGPKI Application CA のように、自力で追加インストールしたルート認証局がいっぱいあると、そうした自動チェックツールに頼れなくなる。どうすればよいのか?
■ JPRSの偽サイト登場??
http://xn--wgv71a119e.jp/access/phishing.html
このサイトは本物だろうか? URLを見ても判別できない。INTERNET Watchの記事からリンクされていたのだが。
* IDNの“脆弱性”はブラウザではなくレジストリ側の運用面の問題〜JPRS, INTERNET Watch, 2005年2月9日
関連情報
■URL
国際化ドメイン名(IDN)のフィッシング詐欺脆弱性について
http://XN--WGV71A119E.jp/access/phishing.html
どうやら、これの記述に従ったものらしい。
日本語JPドメイン名のサイトへのリンクの記述方法
日本語JPドメイン名でアクセスできるサイトへのリンク方法はとても簡単です。「日本語.jp」にリンクしたい場合
日本語.jp
もしくは
http://XN--WGV71A119E.jp/>日本語.jp
という形でhtmlファイルに記述します。
http://xn--wgv71a119e.jp/support/index.html#link, 登録・運用・サポート - 日本語.jp
後者でリンクしてしまうと、偽サイトかどうか確認できない。
下記ページで当該ドメイン名がPunycodeでどのように表現されるか確認することができます。
* Punycode変換
http://xn--wgv71a119e.jp/support/index.html#link, 登録・運用・サポート - 日本語.jp
とあるが、むしろ逆変換の方が重要なのではないか?
ブラウザが逆変換してアドレスバーに表示するべきだとも思うが、どうだろうか。
このままだと、Punycodeでリンクしまくる人たちが大量発生して(自治体とか)、アドレスバーが無いも同然になってしまうおそれがある。
ああ、いやな予感がする。
ところで、
現実には、フィッシングでは誘導先のURIを偽装したり隠蔽したりするなど、もっと巧妙な手段が使われていることから、視覚的に似たドメイン名を使用すること自体はあまり有効なフィッシング手段ではないと考えます。
http://xn--wgv71a119e.jp/support/index.html#link, 登録・運用・サポート - 日本語.jp
この主張はいただけない。
URLを偽装できるのは、ブラウザかサイトに脆弱性があるのが原因であり、それは取り除かれるべきであるし、隠蔽されているところに入力しないというリテラシが確立されるべきであるのだから、きちんと対策と理解が進めば、最後には、似通ったドメイン名の問題だけが残ることになる。
現時点で相対的に「あまり有効なフィッシング手段ではない」とするのはけっこうだが、期限を限定せず絶対的に「あまり有効なフィッシング手段ではない」と言ってしまうのは、「他の人らかて駐車違反してるやん」と言う大阪のおばちゃんのようなものだ。JPRSともあろう者が見苦しい。
あ、JPRSじゃないかもしれないけど。
*1 フィッシングとファーミングでは、責任の所在や、ユーザの自衛策のあり方の点で、性質が異なっているように思う。フィッシングでは、アドレスバー偽装が可能なブラウザの脆弱性が排除されていれば、また、本物サイトのクロスサイトスクリプティング脆弱性が排除されていれば、つまりベンダー達が責任を果たしていれば、あとは、ユーザがアドレスバーの確認を怠らないというリテラシーが肝となる。それに対してファーミングでは、hostsが書き換えられることなどは本来あってはいけないことで、スパイウェアなどに感染してしまった(添付ファイルを実行してしまったなど)ユーザの責任、もしくは、任意コード実行を許してしまうブラウザの脆弱性に原因があるということになる。むしろ、何でもかんでも「フィッシング」とひとくくりに言う人たちにこそ、ユーザの自衛策を整理せずに、製品でアドホックに対策しようとする商魂が見え隠れするのではないか?
*2 確認は必ず自分でやらないと意味がない。サイト側が暗号化されるようにリンクを作ってくれているはずだから確認しなくてよい――という考え方は誤りである。なぜなら、暗号化ページに入る前の非暗号化ページで、通信路上でパケット改竄されたら、リンク先が本来「https://」であるところを「 http://」に書き換えられるということが起こり得るので、情報を入れようとしている画面が https:// になっていることを自分で確認する必要がある。
*3 それこそ、対策ソフト売りベンダーに、そういうことをあえて言わないでおく動機があり得る。
*4 あるいは、[memo:3827] に書かれているように、証明書を削除してしまって、正規のものだけ復活するのを待つという手もあるかもしれない。 Windows XPでは、「Windowsコンポーネントウィザード」で「ルート証明書の更新」がONになっていれば、削除したルート証明書が必要に応じて復活する。しかし、ルート証明書の安全なダウンロードのために、Microsoft認証局発行の証明書による署名を検証しているはずなので、全部削除するとその仕組みも動かなくなるかもしれないので、それはやらない方がよいかもしれない(未確認)。ちなみに、特定の認証局を信じたくないときは、削除するのではなく、証明書を表示して、「詳細」タブで「プロパティの編集」ボタンを押し、「証明書の目的」のところで「この証明書の目的をすべて無効にする」を選択すればよい。
題名には必ず「阿修羅さんへ」と記述してください。