フィッシング 対 策 協 議 会 平 成 19 年 度 第 2 回 技 術 制 度 検 討 ワーキンググループ 2007 年 9 月 20 日 後 日 配 布 版 対 策 の 方 向 性 正 しいフィッシング 対 策 について 独 立 行 政 法 人 産 業 技 術 総 合 研 究 所 情 報 セキュリティ 研 究 センター 高 木 浩 光 http://staff.aist.go.jp/takagi.hiromitsu/ Webの 正 しい 利 用 方 法 の 理 解 の 普 及 啓 発 活 動 パソコン OSの 取 扱 説 明 書 への 記 載 学 校 教 育 のカリキュラムへの 盛 り 込 み 技 術 的 欠 陥 ( 脆 弱 性 )の 排 除 ブラウザの 脆 弱 性 の 修 正 Webサイト 側 の 脆 弱 性 の 修 正 クロスサイトスクリプティング 脆 弱 性 の 排 除 技 術 的 解 決 策 EV-SSL ツールバーによる 利 用 者 補 助 パスワード 自 動 入 力 ツール ログイン 認 証 方 式 の 改 善 杜 撰 な 啓 発 活 動 インチキ 解 説 の 氾 濫 経 済 産 業 省 フィッシング 対 策 協 議 会 JPCERT/CC マイクロソ フト アンチウイルスソフトベンダ 都 市 銀 行 の 一 部 広 告 会 社 丸 投 げ 素 人 に 書 かせ 誰 もチェックしない 専 門 家 も 実 は 理 解 していない 誤 った 解 説 の 例 アドレスバーも 偽 装 されるのであてにならない すべてのページでサーバ 証 明 書 の 内 容 を 確 認 するなんて 無 理 だ 中 略
適 切 な 解 説 の 例 三 井 住 友 銀 行 簡 単! やさしいセキュリティ 教 室 http://www.smbc.co.jp/kojin/security/school/index.html 中 略 我 々の 取 組 : 啓 発 コンテンツの 制 作 ヤフー 側 産 総 研 とヤフーの 共 同 研 究 の 一 環 ヤフー 側 Yahoo!オークション 安 全 対 策 研 究 所 http://special.auctions.yahoo.co.jp/html/anzen/ フィッシングに 騙 されないための 利 用 者 向 けの 注 意 点 を Yahoo!オークションを 実 例 として 解 説 ( 監 修 を 担 当 ) 産 総 研 側 安 全 なWebサイト 利 用 の 鉄 則 http://www.rcis.aist.go.jp/special/websafety2007/ フィッシング 被 害 を 防 止 するWebサイト 利 用 手 順 の 考 え 方 を 一 般 論 と して 利 用 マニュアル 制 作 者 サイト 設 計 者 向 けに 解 説
産 総 研 側 鉄 則 の 要 点 初 めて 訪 れたサイトの 場 合 サイト 運 営 者 のことを 知 っている 場 合 その 運 営 者 のドメイン 名 を 既 に 知 っている 場 合 アドレスバーのドメイン 名 を 確 認 する その 運 営 者 のドメイン 名 をまだ 知 らない 場 合 SSLのサーバ 証 明 書 の 内 容 を 確 認 する サイト 運 営 者 のことをまだ 知 らない 場 合 ( 信 用 できる 運 営 者 か 見 極 める) 再 度 訪 れたサイトの 場 合 アドレスバーのドメイン 名 を 確 認 する 基 本 手 順 アドレスバーに 表 示 されたURLのドメイン 名 を 目 視 確 認 する 本 物 http://list3.auctions.yahoo.co.jp/jp/23336-category.html ドメイン 名 偽 物 http://www.yahoo.co.jp.auction.jp/23336-category.html ドメイン 名 http://list3.auctions.jp/yahoo.co.jp/23336-category.html 偽 物 ドメイン 名 右 端 http://...yahoo.co.jp/... 最 初 の /
アドレスバーの 役 割 昔 々 元 々は 入 力 できない 場 所 だった 1994 年 6 月 の 改 良 NCSA Mosaic 2.0alpha5 の 際 に アドレス バーに 直 接 URLを 書 き 込 めるようになった 今 見 ているページのURLがどこか を 表 示 する 機 能 1994 年 6 月 まではそれだけの 機 能 だった それが 本 来 の 機 能 その 後 アドレスバーの 役 割 がおろそかにされるようになった 例 : 携 帯 電 話 のWebブラウザ フィッシング 詐 欺 の 多 発 で 重 要 性 が 再 認 識 不 審 なメール に 注 意? 警 察 庁 の 呼 びかけ 個 人 情 報 やカードの 情 報 などを 問 い 合 わせる 不 審 な 電 子 メー ルやホームページには 注 意 が 必 要 です http://www.npa.go.jp/cyber/policy/phishing/phishing110.htm 不 審 なメール と 見 抜 けるのか? 個 人 情 報 やカード 情 報 を 求 めるメール = 不 審 なメール とい う 意 味 か? 銀 行 やカード 会 社 の 対 応 当 社 からお 客 様 に 暗 証 番 号 やカード 番 号 をお 尋 ねすることは ありません とする 告 知 が 流 行 した それは 本 当 か? 正 規 の 誘 導 メール 本 物 本 物 ログインしてください = 暗 証 番 号 を 入 力 してください
手 口 の 巧 妙 化 初 期 段 階 緊 急 事 態 を 装 って 入 力 させる あなたの 口 座 に 問 題 が 生 じました 手 口 の 巧 妙 化 正 規 のメールの 模 倣 平 常 どおりのメールで リンク 先 だけが 偽 サイトに 差 し 替 え られている 警 戒 している 者 にも 怪 しいメール とは 気 付 けない 既 にそのような 手 口 が 横 行 している 不 安 ビジネスに 踊 らされない 偽 装 されるからアドレスバーを 見 ちゃダメだ という 人 がいるが だからフィッシング 対 策 ソフトを 買 え と? Windows Updateできない 人 がいるから そうかもしれないが だからどうすればよい? 証 明 書 を 確 認 しろなんて 無 理 だ 確 認 する 必 要 などない 過 大 なリテラシーを 仮 定 して 否 定 し リテラシーではどうにもな らないと 主 張 する 人 達 がいる そして 誰 もリテラシーを 説 かない 安 全 なWeb 利 用 の 鉄 則 既 に 知 っているサイトを 利 用 する 場 合 アクセスした 後 重 要 な 情 報 を 入 力 する 前 に 以 下 を 確 認 する アドレスバーに 表 示 されたURLのドメイン 名 を 目 視 確 認 する 錠 前 アイコンの 存 在 を 確 認 する ( 内 容 は 見 なくてよい) アドレスバーを 目 視 確 認 する アドレスバーに 表 示 されたURLを 目 視 確 認 する ドメイン 名 さえ 確 認 すればよい(URL 全 部 は 確 認 不 要 ) 自 分 が 信 頼 しているサイトのドメイン 名 は 暗 記 しておく その 前 に SSLの 証 明 書 異 常 警 告 が 出 ていたら いいえ を 押 す 初 めて 訪 れたサイトを 利 用 する 場 合 https:// の 画 面 を 探 して 錠 前 アイコンをダブルクリックして サーバ 証 明 書 の 内 容 を 確 認 する smbc.co.jp ウィンドウにアドレスバーが 出 ていない 場 合 偽 サイトかもしれないと 判 断 して 入 力 を 避 ける 本 物
Pop-Upウィンドウによる 手 口 本 物 サイトのウィンドウの 上 に 重 ねて 偽 のログイン 用 ウィンド ウを 開 き そのアドレスバーを 隠 す 本 物 偽 物 なぜそんなことができるか 被 害 者 が 偽 サイトに 誘 導 されてジャンプすると 偽 サイトにはJavaScriptが 埋 め 込 まれていて JavaScriptによりポップアップウィンドウが 開 かれ そこには 偽 ページが 表 示 され JavaScriptにより 元 のウィンドウが 本 物 サイトへジャンプさせら れる アドレスバーを 隠 す 本 物 サイト 本 物 サイトにもアドレスバーがないのですが 偽 サイトと 見 分 けがつかないようなサイトは 使 わない それでは 困 るのですが アドレスバーを 隠 すようなサイトはセキュリティ 意 識 が 低 い と 考 えられ そのようなサイトは 他 にもセキュリティの 欠 陥 を 抱 えている 可 能 性 があると 考 えられるという 理 由 から い ずれにせよそのサイトは 使 わない 方 が 懸 命 と 判 断 する ことができる 2002 年 2 月 の 日 本 銀 行 金 融 研 究 所 での 講 演 資 料 より
その 後 2004 年 11 月 ごろ 大 半 の 大 手 銀 行 がアドレスバーを 隠 すの をやめた 中 略 サイト 運 営 者 側 の 責 任 利 用 者 が 本 物 確 認 しやすいサイト 設 計 を 錠 前 アイコンの 存 在 を 確 認 する 個 人 情 報 やパスワードなど 重 要 な 情 報 を 入 力 する 画 面 では SSLによる 暗 号 化 通 信 が 提 供 されている SSLが 使 われていないならば 入 力 しない ステータスバーが 隠 されているなら 使 わない この 警 告 が 出 たら 危 ない 偽 のサーバ 証 明 書 で 運 用 されているSSLサイト の 可 能 性 をブラウザが 自 動 判 別 して 指 摘 している 注 意!! 偽 サイトが 偽 サイト 用 の 錠 前 アイコンを 出 していることもある アドレスバーの 確 認 と 両 方 を 確 認 する 必 要 がある
警 告 を 無 視 させるサイトは 本 物 か? 本 物 サイトが 次 の 指 示 をしていることがある 警 告 が 出 ても はい を 押 すように 指 示 警 告 が 出 ないようにするため 証 明 書 をインストールするように 指 示 商 用 サイトでは 少 ないが 官 庁 自 治 体 大 学 サイトがこうした 指 示 をしている 紛 らわしいドメイン 名 の 問 題 最 近 の 銀 行 の 告 知 当 行 のドメイン 名 は bank.co.jp です たとえば i と l の 見 分 けができるか 実 際 にあった 事 例 http://www.paypal.com/ 本 物 Phishingサイトがそうした 指 示 をするようになるおそれ 消 費 者 としては こうした 指 示 は 一 律 に 無 視 する http://www.paypai.com/ 偽 物 覚 えておく 見 分 ける なんて 無 理? 機 械 的 に 見 分 ける 方 法 Internet Explorer の 信 頼 済 みサイト の 機 能 を 使 う 確 認 したサイトを 登 録 する 本 物 サイトだと 確 認 できたページのURL (https:// の) を 登 録 する 注 意!! 信 頼 済 みサイト の セキュリティレベル を 中 以 上 にして 使 うこと このチェックは 外 さない
二 度 目 以 降 は 簡 単 に 確 認 できる 一 度 慎 重 に 本 物 だと 確 認 したサイトは 信 頼 済 みサイト に 登 録 して おけば 簡 単 に 確 認 できる 初 めて 訪 れたサイトの 場 合 知 らない 会 社 や 団 体 のサイトを 訪 れた 場 合 そもそもその 会 社 を 信 用 してよいか やっていることがすべて 詐 欺 だったりしないか? 入 力 前 にここを 目 視 確 認 する 知 っている 会 社 や 団 体 のサイトを 訪 れたつもりの 場 合 本 当 にその 会 社 のサイトなのか サーバ 証 明 書 の 内 容 を 見 て 運 営 者 の 名 前 と 住 所 を 確 認 する サーバ 証 明 書 のいわゆる 実 在 証 明 機 能 会 社 名 よりドメイン 名 の 方 が 有 名 である 場 合 には これを 確 認 する 必 要 がない (ドメイン 名 を 慎 重 に 確 認 すれば) これで 安 全 か? 次 の 可 能 性 があるので 必 ず 安 全 とは 言 えない アドレスバー 偽 装 錠 前 アイコン 偽 装 の 手 口 が 使 われてい る 可 能 性 クロスサイトスクリプティング 攻 撃 により 本 物 サイトの 画 面 上 に 偽 ページが 埋 め 込 まれている 可 能 性 本 物 サイトが 侵 入 されてコンテンツが 偽 ページに 改 ざんさ れている 可 能 性 Pharming(ファーミング)の 手 口 によって 自 分 のパソコン が 既 に 汚 染 されている( 設 定 を 変 更 されている 等 ) 可 能 性 どうしようもないのか? 責 任 分 界 点 を 明 確 に アドレスバー 偽 装 錠 前 アイコン 偽 装 Webブラウザベンダーの 責 任 アドレスバーや 錠 前 アイコンを 正 しく 確 認 できないようなものは ブ ラウザとして 欠 陥 があるという 共 通 認 識 がある ブラウザの 脆 弱 性 として 発 見 されしだい 修 正 されている クロスサイトスクリプティング 攻 撃 Webサイト 運 営 者 の 責 任 Webアプリケーションの 脆 弱 性 であり 修 正 すべきもの 本 物 サイトが 偽 ページに 改 ざん Webサイト 運 営 者 の 責 任 そもそもあってはならないこと Pharming(ファーミング)の 手 口 消 費 者 の 責 任 スパイウェア 等 に 感 染 するようなミス 操 作 をしては どうしようもない
事 業 者 のとるべき 対 策 Webサイトの 構 成 のあるべき 姿 アドレスバーやステータスバーを 隠 さない 入 力 ページを https:// にする 正 規 のサーバ 証 明 書 を 購 入 してSSLを 運 用 する サービス 提 供 者 が 保 有 するドメイン 名 を 使 う まぎらわしくないドメイン 名 を 使 う サイトからクロスサイトスクリプティング 脆 弱 性 を 排 除 する メール 配 信 のあるべき 姿 HTMLメールを 送 らない デジタル 署 名 のないメールを 送 らない クロスサイトスクリプティング クロスサイトスクリプティング(Cross-Site Scripting) 脆 弱 性 ( XSS 脆 弱 性 )とは CERT/CCが2000 年 2 月 に 勧 告 CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests Cookie 漏 えい セッションハイジャック 攻 撃 の 危 険 があると して 国 内 では 比 較 的 よく 知 れ 渡 り 対 策 が 進 んだ もう 一 つの 脅 威 本 物 サイトの 画 面 上 に 偽 ページを 差 し 込 まれる サーバ 内 の 記 憶 データが 改 ざんされるわけではない 外 部 からの 入 力 を 差 し 込 んで 表 示 する 動 的 なページで 適 切 な 作 り 方 をしていないと JavaScriptをページ 内 に 差 し 込 まれる 悪 意 あるサイトからジャンプしてきた 場 合 に 起 きる 狭 義 のXSS 狭 義 のXSSと 広 義 のXSS 外 部 サイト( 攻 撃 者 のページ)からのリンクを 辿 ったときに HTML 断 片 を 差 し 込 まれる ページの 差 し 替 えは 一 時 的 に 発 生 する あらゆるサイトにおいてあり 得 る 広 義 のXSS 攻 撃 者 がHTML 断 片 ( 特 にスクリプト)を 書 き 込 む ページの 差 し 替 えは 永 続 的 に 発 生 する 掲 示 板 Webメール 等 の 誰 でも 書 き 込 みが 可 能 なサービスに おいて 起 こり 得 る Yahoo! JAPANの 事 例 2005 年 11 月 に 発 生 した 日 本 語 phishing Yahoo!メール(Webメールサービス)に 届 いたHTML 形 式 の phishingメール Yahoo!メールのXSS 脆 弱 性 を 突 いて yahoo.co.jp ドメインの 画 面 上 に 偽 コンテンツを 表 示 させていた 広 義 のXSSの 事 例
狭 義 のXSS 中 略 日 経 新 聞 2001 年 9 月 24 日 朝 刊 21 面 技 術 による 解 決 策 中 略 EV-SSL ホワイトリスト サイト 運 営 者 の 信 頼 性 を 専 門 機 関 が 審 査 認 定 する 欠 点 : 正 当 なサイトのすべてが 利 用 できるわけではない ツールバーによる 利 用 者 補 助 ブラックリスト 特 徴 検 出 (IE 7 Firefox 2) ドメイン 名 の 視 認 性 向 上 ( 各 種 Firefoxアドオン 等 ) 信 頼 するドメインの 登 録 確 認 ツール( Petname Tool ) パスワード 自 動 入 力 ツール PwdHash (Stanford) Passpet (UCB) 等 ログイン 認 証 方 式 の 改 善 産 総 研 -ヤフー 共 同 研 究 の 事 例
2006 試 作 品 の 実 装 プロトコル 仕 様 の 設 計 これまでの 成 果 ソフトウェアの ソフトウェアの ソフトウェアの 整 整 整 備 備 備 標 標 標 準 準 準 規 規 規 格 格 格 への への への 提 提 提 案 案 案 標 準 化 プロセス (IETFでの 議 論 ) Webサービスでの Web Webサービスでの サービスでの 利 利 利 用 用 用 中 略 これまでの 成 果 と 今 後 の 展 開 イメージ 2007 2008 2009 2010 2011 オープンソース 実 装 の 提 供 Internet Draft 起 草 提 案 一 部 ブラウザ への 搭 載 ( 作 者 への 働 きかけ) RFC 化 各 ブラウザへの 標 準 搭 載 ヤフオク サイト 上 で 実 証 実 験 ヤフオクで 本 格 的 利 用 他 社 サービス でも 採 用 産 総 研 とヤフーが 提 案 する 新 認 証 プロトコル 長 期 的 展 望 に 立 った 抜 本 的 解 決 策 HTTP Auth( Basic 認 証 等 )の 拡 張 Mutual Auth Basic, Digest, Mutual フォーム 認 証 はもうやめよう Webアプリケーションの 脆 弱 性 も 同 時 に 減 らせる Webアプリケーションのログイン 機 能 実 装 が 容 易 になる 開 発 した 技 術 ログイン 中 は 緑 色 になります 失 敗 するとこの 画 面 になります
技 術 的 解 決 の 必 要 性 と 前 提 被 害 に 遭 うケース ドメイン 名 の 確 認 を 怠 ってしまった 場 合 ドメイン 名 を 覚 えていられない 場 合 紛 らわしいドメイン 名 の 偽 サイトが 現 れた 場 合 http://www.yafoo.jp/ http://www.yahoo.co.jp.auction.jp/23336-category.html 偽 物 http://list3.auctions.jp/yahoo.co.jp/23336-category.html 前 提 経 験 豊 富 なユーザでも うっかり 見 逃 してしまうことが ある 既 にパスワードを 登 録 済 みのサイトを 利 用 する 場 合 通 信 路 での 盗 聴 よりも 偽 サイトによるフィッシングの 方 が 現 実 的 に 大 きな 脅 威 になっている 技 術 的 なポイント ユーザインターフェイスの 改 良 認 証 方 式 として PAKE を 採 用 HTTP Authentication を 自 然 に 拡 張 して 設 計 HTTPS との 組 み 合 わせに 配 慮 新 たに 生 じた 問 題 を 解 決 ブラウザ 側 に 事 前 の 設 定 が 不 要 で どの 端 末 でも 利 用 でき る (ブラウザがこのプロトコルを 標 準 搭 載 した 後 には) 個 人 情 報 入 力 時 の 新 しいリテラシの 提 案 緑 色 になっていれば 入 力 してもOK 本 技 術 の 目 標 ユーザが 偽 サイトに 誤 ってログインしようとしても パスワードが 詐 取 されない ユーザが 自 分 が 期 待 しているサイトと 通 信 していないことを 検 知 できる ような 認 証 機 能 を 実 現 する PAKE と 呼 ばれる 暗 号 技 術 を 応 用 PAKE (Password Authenticated Key Exchange) 略