アーカイブ

  1. トップページ
  2. アーカイブ
  3. 情報セキュリティ
  4. 脆弱性対策情報
  5. セキュア・プログラミング講座
  6. セキュア・プログラミング講座2007年版 Webアプリケーション編
  7. Webアプリケーション編 第3章 サイトデザインにかかわる対策
  8. 第3章 3.真正性の主張

第3章 3.真正性の主張

公開日:2007年6月28日

独立行政法人情報処理推進機構
セキュリティセンター

本ページの情報は2007年6月時点のものです。
記載の資料は資料公開当時のもので、現在は公開されていないものも含みます。

偽ページによる想定される被害

偽ページは、あたかも正規のページのように振る舞いユーザを騙すことを目的としている。ユーザが偽ページを正規のページと判断してアクセスした場合、例えば、次のようなことが起きる可能性がある。

  • ユーザIDやパスワードが知られてしまう
  • クレジットカード番号や口座番号が知られてしまう
  • 個人情報(住所、電話番号、家族構成等)が知られてしまう
  • 思ってもいない買い物をしてしまう。もしくはとんでもない高額で商品を買うことになってしまう
  • 購入した商品の代金を正規サイトでは無く悪意あるサイトへ入金してしまう
  • 正規の会員制サイトを自分の意思と反して退会してしまったり、悪意あるサイトに入会してしまう

偽ページの手口

偽ページの主な手口には、次のようなものがある。

  • フィッシング詐欺
    別のWebサーバを立てて、そこに本物そっくりの偽ページを用意する
  • HTTPレスポンスによるキャッシュ偽造、スクリプト注入(XSS)
    正規のWebサーバやプロキシサーバに干渉して、本物のコンテンツの一部として存在するかのように、偽ページを用意する

偽ページ対策

偽ページ対策としては、ユーザが偽ページに騙されないように本物か偽物かが判断できるユーザインターフェースになっていることが重要である。

[本物のページであると判断するための確認項目]

  • ページのURLやリンク先のURL
  • TLSサーバ証明書の有無
  • TLSサーバ証明書の内容

本物であることの確認手段の確保

偽ページ対策を次に示す。残念ながら、これらの対策すべてを行っていてもユーザが偽ページに騙されることが無くなるわけではない。以下は推奨する対策であるが、これ以外にもユーザが本物か偽物かを判断できる情報をすこしでも多く提供するように作ることが重要である。

  • 本物のサイトであることを示すためには有効な証明書が必要であることを示すイラスト図
    図3-3:偽ページ対策

(1) アドレスバーを隠さない

ブラウザのアドレスバーを表示させ、正しいドメイン名であるかを確認しやすくする。

(2) ステータスバーを隠さない

ステータスバー上には、リンクのURLが表示されるので、確認できるようにしておく。

(3) 右ボタンクリックによるプロパティ確認手段を封じない

右ボタンメニューの「ページの情報」を選択することで、そのページ自体のURLやページに含まれるリンクのURL等の情報がわかるため、常に使用できるようにする。

(4) TLSを導入する

TLS(もしくはSSL)を導入して、本物のサイトであることをサーバ証明書によって証明できるようにする。

(5) TLSサーバ証明書を自己発行しない

自前で発行した証明書は、偽造されるおそれがあるため、ブラウザが信頼済みとしている認証局から発行された証明書を使用する。

更なる対策

(1) リダイレクトのURL作成時には、外部からのパラメータを使用しない

LocationヘッダのURLを組み立てる際に、外部からのパラメータを利用している場合、パラメータの改ざんにより、偽ページへ誘導されてしまうおそれがある。そのため、リダイレクト先URLの作成時には、外部からのパラメータをできるだけ利用しないようにする。

フィッシング詐欺対策への新たな試み

独立行政法人 産業技術総合研究所情報セキュリティ研究センターとヤフー株式会社は、2006年1月からインターネットにおけるセキュリティ強化技術の共同研究を進めている。
この成果として、ウェブでの利用に適したパスワード相互認証プロトコルを開発した。

これは、PAKE (Password Authenticated Key Exchange)と呼ばれる暗号・認証技術に基づいて、既存の通信プロトコルに対応するように改良を加えた認証技術である。この技術をクライアントとサーバの両方が利用することで既存のユーザがパスワードでサイトの真偽を確認でき、フィッシング詐欺を防止できる。

基本となるPAKEは、クライアント・サーバ間で相互認証とそれに基づいた秘密情報の安全な共有を実現する方式であり、電子証明書を用いずにユーザー固有のパスワードを用いた相互認証を可能としている。今までWebに適用して用いられていなかった。

(1) 具体的な防止効果

PAKE方式による認証では、パスワードは暗号化した情報として送信されるため、ユーザが誤って偽サイトへ送信しても、パスワード自体を盗まれることはない。また、偽サイトが暗号化したパスワードを取れたとしても暗号化前のパスワードは判らないため、辻褄の合う情報をユーザーに返すことができず、認証は成功しない結果となる。これによりユーザはアクセスしたサイトが正規のサイトではないと判断することができる。

(2) 中間者攻撃への対策

クライアント・サーバ間での相互認証方法は、現在もワンタイムパスワード等で利用されている。この方法では、中間者攻撃によるフィッシングの手口が問題となる。中間者攻撃とは、攻撃者がクライアントとサーバとの通信の間に割り込み、クライアントと攻撃者との間の通信を攻撃者とサーバとの間の通信として中継することによって正規の相互認証が行われているようにしてセキュリティを破る攻撃手法である。

この攻撃対策として、PAKE方式を使った新たな認証方式では、パスワードを暗号化する際に、通信相手となるサーバのドメイン名等の情報を使って加工するようにしている。これにより、通信相手のドメイン名等と暗号化されたパスワードの情報にあるドメイン名等が合わないと認証は成功しないことになる。

参考:

前のページ:Webアプリケーション編 第3章 2.メールの第三者中継対策へ 次のページ:Webアプリケーション編 第4章 セッション対策へ