ヤフーからの通知を装った日本語フィッシングで何が起きていたか(高木浩光@自宅の日記)
ヤフーからの通知を装った日本語フィッシングで何が起きていたか(高木浩光@自宅の日記)
技術に明るくない人にはおそらく難しい内容だと思う。しかし、これはやはり良く読んで、可能な限り理解しておいて欲しい内容だ。
正直なところ、自分自身このフィッシング詐欺ページを表示してしまったらおそらく引っかかってしまうだろう。
逆に言うと、表示しない、させないことが肝心だ。これは基本的にはWebサイト運営者がまず対策を講じるべき問題である。これはWebの閲覧という 行為が現在きわめて容易であることによる。サービスは、利用者中でもっとも知識が乏しい者であっても安全に利用出来るように可能な限り努力すべきだろう。
ちなみにこのYahooメールの問題はクロスサイトスクリプティング(XSS)の脆弱性を利用したものだったようだ。高木氏は本年7月前後に 「XSSは有名になったがそれ以上に危険な脆弱性は多くある。XSS対策だけで満足してはいけない」という趣旨で何度かお話しされていたのを記憶してい る。[1. 趣旨を取り違えていたら申し訳ないが]実際、XSSの脆弱性を用いた攻撃はそのスクリプトを含んだURLなり Webページをどうにかしてユーザに見せる必要があるため意外と利用しづらいことが多い。今回の例ではWebメールの閲覧という日常的な操作だけでXSS の脆弱性を突いた攻撃が可能であったために被害が拡大した部分もあるだろうが、XSSの脆弱性一つでここまで大きな被害になりうるという教訓でもある。さ らにWebサイトのセキュリティに関わる人はここで高木氏の言葉を思い起こして身を引き締めるべきだろう
利用者側からの視点で見れば、残念ながら現在のところインターネット上のシステムはセキュリティに関して後手後手に回っており、誰もが安心して使え るシステムなどないと言っても良いのではないだろうか。知識を持っている人間なら注意深く利用できるシステムであっても、多くのユーザはそうではない。ま た、利用者の意識も漠然とした危機感は持っていても、安全性と利便性を秤にかけると利便性に傾いているように思える。関連:パスワードだけじゃ物足りない——ユーザーはオンラインセキュリティに不満(ITmedia)
利用者としては普段利用しているこのWebブラウズというもの自体が安全でないことを改めて理解し、自衛策を講じなければならない。
とまあ、改めて言うまでもないことを偉そうに書いてみたわけだ。だが、前にも何度か書いたのだが興味のない人間にはこれが常識ではないのだ。[2. 彼女がスパイウェアを知らなかったので「ディープなネットユーザの割に知識なさ過ぎ」と言ったら「知らなくても使えるし」と返ってきて言葉 を失った。が、それが一般的なユーザというものだろう]先は長い。