ダメダメなネットカフェ
最近はブログに書いていなかったけど、ネットカフェに行くのが趣味だ。
あの怪しげな雰囲気が好きなのだが、実は結構便利なサービスもやっている。雑誌や新聞などが読めるのもそうだし、店によっては日経BPのビズボードという日経BP発行の雑誌の記事をテキスト形式やPDF形式で読めるサービスを導入しているところもある。
また、悪趣味と言われそうだが、セキュリティ的にどの程度安心かを確認してみるのも好きだったりする。だいたい完璧なところは無いので、粗探し的になっているのだが。
今までこのブログに書いたネットカフェに関する記述を見ると、どの程度ダメかわかる。ただ、最後に書いたのがもう3年前くらいだし、最近はそれこそ本当に出先で安心して電源とネットを確保したいときに使うだけなので、粗探し、もといセキュリティのチェックをする時間がなかったりしたのだけれど、ここしばらく余裕ができたので、何店か入ってみた。
多くの店ではアンチウィルスソフトも導入されているし、リブートでOSイメージが戻るようになっているし、数年前よりはだいぶよくなっているようだった。だが、一店、とんでもない店があった。結構大手チェーン。サラリーマンが多くいる繁華街にある店。
PCにはシステムの再起動でイメージが元に戻ると書いてあるけれど、大嘘で、ダウンロードしたファイルはそのままだし、インストールしたプログラムは残ったままだ。
たとえば、こんなファイルがダウンロードフォルダには残っていた。
社外秘だそうで*1。
プログラムもインストールして次の利用者に気づかれないように動作させることも出来るから、キーロガー仕込まれたら、昔シティバンクの利用者がネットカフェでオンラインバンキングを利用して1千万円以上も引き出されたのと同じことが出来てしまう。お店には一応言っておいた。でも、このお店は以前もこんなことをやらかしていた店なので、言っても無駄かも。
ネットカフェは良いけれど、仕事はしないほうが良いね。もしくは仕事するときは持ち込みのPCでポータブルWiFiか何かを使って。
*1:表紙以外は見ていない
インターネットキオスク端末でのオートコンプリート
古典的な設定ミスだと思うのだが、インターネットキオスク端末、すなわちパブリックスペースにおかれている端末でインターネットアクセスする際に、オートコンプリート(自動補完)機能を有効にしていてはいけない。
シンガポールのチャンギ空港というとアジアのハブ空港として有名で、インターネットへのアクセス手段も多く用意されていることで知られている。フリーのWiFiも用意されていたり、3Dゲームが楽しめる場所があったりもするのだが、そこかしこに用意されているのがインターネットキオスク端末*1だ。
シンガポールからの帰国時に自分のPCを立ち上げるのが面倒だったこともあって、この端末を使ってみた。Gmail、Twitterなどのあと、Facebookにアクセスしたのだが、以前にこの端末を使ったと思われるユーザーのアカウント名*2が表示されてきて、とてもびっくりした。
ブラウザのオートコンプリートが有効にされているためなのだが、GmailやTwitterでは起きなかったのは何故かと考えたら、普段の癖で「https://」とURLに叩き込んでいたためだった。Facebookにアクセスした際は、おそらくメールからのリンクだったのだろう、SSLアクセスをしていなかったのだ。
教訓:誰もがアクセスする端末から重要なサイトへのログインはしないようにする(当たり前!)。SNSなどカジュアルな利用の場合などで、どうしてもアクセスしたいときは、SSLを用いて(=「https://」に変えて)アクセスするようにする。
インターネットキオスク端末提供者への教訓:ブラウザのオートコンプリートは無効にする。また、利用が終わったあとは常に初期値に戻すような設定にしておく*3。
参照:MSDN AUTOCOMPLETE Attribute | autocomplete Property
Note: if both of the following conditions are true:
The page was delivered over HTTPS
The page was delivered with headers or a META tag that prevents caching
...the Autocomplete feature is disabled, regardless of the existence or value of the Autocomplete attribute. This remark applies to IE5, IE6, IE7, and IE8.
アナログメディアにおけるセキュリティ
QRコードによるフィッシングを書いた後に、アナログメディアではコンテンツの真正を証明*1することがかなり難しいことに気づいた。
これを「コンテンツ、コンテナ、コンベヤ」モデル*2で考えてみよう。
たとえば、チラシのような印刷物の場合、コンテンツは文章や図や写真などで、コンテナは紙、コンベヤは新聞折込の場合は新聞販売店だし、駅前や繁華街で手渡しというのもあるだろう。ここでコンテンツがコンテナという形に収まり、コンベヤでユーザーの手元に届くまでに改ざんされる可能性を考えてみる。コンテナの紙の質次第であるが、QRコードの例で書いたように上から分からないように紙を貼ることも可能だし、修正液で修正したり、カッターで紙を少し剥がして書き換えることもできるだろう*3。また、コンベヤでまったく違うものにすり替えられてしまっていてもわからない。これはコンベヤの信頼に依存した話となる。新聞販売店であれば、その店の信用ということになる。さすがに普通の新聞販売店でチラシを入れ替えることはしないだろうが、駅前や繁華街での配布だとどんなことでもできる。話がずれるが、たまに化粧品や食品のサンプルのようなものを配布しているのも見かけることがあるが、実はこれって危険だ。特に聞いたこともないような商品の場合には気を付けたほうが良い。CDやDVDを配布しているのも見かけたことがあったが、これなんか本当に危険。ルートキットなんかが埋め込まれているかもしれないのだから、PCに入れる前に十分気をつけたほうが良い。私なら受け取らない。
ラジオやテレビの場合は、電波がコンベヤになることによってリスクは軽減する。それは電波利用が国により規制されているからだ。ある周波数で届く電波は確実にある放送局によるものである。
デジタルメディアで考えた場合、コンテンツはコンテナに納める段階で電子署名が可能だ。PDFやWordの例、XMLにおける署名を考えれば良い。コンベヤも通信路の暗号化や署名が利用できる。SSL/TLSがそうだし、低レイヤーではIPsecなども利用できる。
これらは、デジタルがコピー可能で改ざんや不正コピーに対応しなければいけないというニーズがあったからである。どのような経緯で提案および開発されたものかはそれぞれ詳しく知らないが、デジタルメディアにおいての各技術がアナログメディアでの利用からそのニーズをくみ取り実現したであろうことを考えると、いまやその実現や利用方法がアナログよりも優れていることは皮肉だ。透かしから電子透かし、署名から電子署名など。紙というコンテナで透かしを入れること確認したり、印刷媒体に押されている印鑑が本当に本物かを確認したり、これらよりデジタルメディアで行うことのほうが簡単なことも多い。
これを持って、アナログメディアが劣っていて、デジタルメディアが優れているというつもりは全くない。しかし、QRコードの例を見るように、コンテンツが改ざんされることによる犯罪というのは昔からある。デジタルメディアにおいては少なくとも簡単なコンテンツ改ざんというレベルは技術によっての対処が可能となってきている。一方、デジタルを使うことにより、より高度化したユーザーが見抜くことが難しい犯罪が増えるというリスクは出てきてはいるのだが。
QRコードによるフィッシング
印刷媒体からQRコードで携帯電話からウェブに誘導するのが一般化しているが、これってフィッシングの温床になりうるなと思ったのが一昨年。特に、キャンペーンなどで比較的大きめのポスターなどにQRコードが印刷されているパターンが危ない。
印刷されているQRコードの上に気付かれないように、同じ大きさのQRコードを印刷したものを貼りつけてしまえば良い。なんだって、未だにこれが問題になっていないんだろうと思っていたら、ちゃんと話題になっていた。
その手口は非常に簡単で、町中の看板やポスターなどに印刷されているQRコードの上に、誘導したいサイトの情報を入れたQRコードを貼り付けるだけ。知らずにユーザーがQRコードをスキャンすると、別のサイトに飛ばされる、という仕組みです。
いまのところ大きな被害はでていないのですが、たとえばキャンペーンサイトなどの場合、本物のサイトとそっくりなサイトを作って個人情報を収集する、といったことも十分考えられます。
ここで引用されているのは、Web担当者Forumの記事の次の記事。
QRコードは見ただけでは内容がわかりません。カメラで読み取ると、画面にはURLが表示されますが、これをしっかり確認してからアクセスする、という人は、いったいどのくらいいるでしょうか。ウェブサイトにアクセスした後も、URLを意識することは少ないと思います。PCと違って、携帯のブラウザーにはアドレスバーがありません。この「URLを意識せずにサイトにアクセスしてしまう」というところに危険が潜んでいるのです。
実際、街中の看板やポスターなどに第三者がQRコードを重ねて貼り、無関係のサイトにアクセスを誘引する、という事例があるようです。その看板やポスターの内容に関連するサイトだと思って気軽にアクセスしてみると、その飛び先は、アダルトサイトであったり、偽サイトであったり。そう、これは紛れもなく「フィッシング」です。目の前にあるQRコードで簡単にアクセスできると思い込んでいると、罠にはまってしまうことになります。
JPRSの宇井さんの記事。元は雑誌『レンタルサーバー完全ガイドVol.10』(2007年8月29日発売)に掲載されたものらしい。2007年にすでにこういうことを指摘していたなんてさすが。というか、その時点ですでに事例があったことに驚く。私の知る限り、大規模な被害というのは発生していないが、だからこそ今もっとこの問題について意識すべきではないか。
対策として、ここで述べられているのが、ドメイン名を意識すること。印刷物にドメイン名を表示し、ユーザーに注意を喚起する。ユーザーもQRコードを読み取った後、きちんとドメイン名を確認する。宇井さんは日本語ドメイン名の有効性を説く。日本語ドメイン名については個人的にはどうも好きになれない(失礼!)ところがあるのだけれど、確かにこのケースでは有効だ。特に、JPドメインにしておけば、ほかの怪しいドメインよりもドメインの所有者の確認などで安心ではあろう*1。ユーザーがきちんとTLDまで含めて確認してくれることが前提になるが。
スラドで書かれているように、SSL接続を行い、それを確認するように印刷物で喚起することも可能だが、SSL接続の有無って未だに携帯ではわかりにくいような気がする。どうなんだろう。
いずれにしろ、この議論があった時よりも、短縮URLが登場したりして、リスクは高まっている。QRコードを読み込んだ後が短縮URLであった場合、携帯からだとリダイレクトされた後のURLは目立ちにくい。
Eye-Fiについてのまとめ@日経BP ITPro Watcher
で書いたEye-Fiに代表されるこれからのユビキタス機器の課題と期待について、日経BP ITPro Watcherに書かせていただいた。内容的には、上の3つとかぶるが、まとめてだいぶ読みやすくなったかと思う。よろしければ是非。
日経BP ITPro Watcher/Avoid Note - ユビキタス機器の自由に触れるEye-Fi
[追記 on 3/11]記事に書かれている内容に事実と異なる部分がありました。日経BPのサイトでは修正をしてあります。関係者の方々に心よりお詫び申し上げます。
■変更履歴
初出時「PCなしでは,転送が開始されたのか,完了したのかといった状況を知ることができない」,さらに「いつ終わったかを確かめるためにPCを起動する必要がある」としていましたが,Eye-Fiは,電子メール,携帯電話のメール機能,Twitterなどへ転送状況を通知する機能を備えており,これは誤りでした。本文は修正済みです。 [2009/03/11 07:45]
普段より、一次情報にあたることや事実確認することを他者には厳しく求めている自分が、きちんとした確認もせずにこのような誤りを書いてしまったことを深く反省しております。ここや日経BPのサイトで修正を入れたとしても、そのような追加情報を読まれる方ばかりではありませんので、改めてこの部分はきちんと調査をして、報告をしたいと考えております。