フィッシング対策 事業者篇
皆さん、こんにちは。丸山満彦です。本日は、新幹線から富士山がきれいだった・・・。こういう日は得した気分になります。高木さん、フィッシング詐欺の仕組みの解説ありがとうございます。なるほど、詐欺の手法というのは、オレオレ詐欺にしても、フィッシングにしてもどんどん凝ってきていますね。あまり望ましいことではないですね。
さて、今日は、「消費者ばかりに対策を押し付けている場合ではない。事業者が手を取り合って、悪徳詐欺師集団に仕事をさせない環境をつくらなくてはいけない。」ということで、フィッシング対策 事業者篇を考えることにしました。
まぁ、今のところ中間報告くらいの精度でしょうか?間違っている。それではだめだ・・・というコメントを随時受けてつけていますので、コメントをお願いします。
[①電子メールの基本ルール]
1. 個人情報などを聞き出す電子メールなどは出さないようにする。
2. 顧客に電子メールを出すときは必ず電子署名をつける。
3. htmlメールは使わず、テキストメールで送る
[②入力画面の基本ルール]
1. 個人情報を入力させるウェブ画面、重要なお知らせを載せるウェブ画面ではSSLを使う。
2. https:を利用していることがわかるように、必ずURLが見えるようにする。(フレームを利用してURLがどこかわからないようにしない。)
[③電子署名を使う場合のルール]
1. 信頼のおける認証局が発行している電子署名を利用する。(例えば、インターネットエクスプローラには、マイクロソフトが信頼できる認証局として信じている認証局があらかじめ組み込まれているので、それを信じるというのも一つの手であり、その認証局を使う)
2. お試し版のような安易な電子署名を利用しない。
3. 電子署名には、会社名及び住所まできちんと登録する。
[④その他]
1. サーバの脆弱性はできる限り少なくする。致命的な脆弱性があるままで運用をつづけない。
2. クロスサイトスクリプティングなどの脆弱性の検査をしてからウェブを公開する。
3. 会社名、問い合わせ窓口、会社のトップページのアドレスをメールのヘッダ、ウェブ画面に入れる。
(これをだますということもあるのですが、少なくとも自己紹介はちゃんとするという姿勢は重要かなぁと思います。身に覚えのある会社であれば、利用者が検索エンジンなどの検索結果とリンクしているトップページが一致しているかどうかを確認することができます。)
とりあえず、このくらいを考えました。
Comments
丸山さん、昔ちょろっと酒の席でお話したかと思いますが(^^;事業者で考えられる対策のひとつを今更書く気になったのでトラックバックしておきました。
Posted by: 上原哲太郎 | 2005.02.08 03:19
丸山 様
夏井です。
先日はお世話になりました。
さて,私もこのNHKの番組のために取材や協力要請などを受けたりしたこともあっていろいろと考えていたのですが,現時点では,すぐ近くの未来にやってくる脅威により多くの注意を払うべきだと考えています。
いくつか考えられそうですが,かなり現実味のある(または,すでにある)脅威としては,次のものをあげることができます。
1:トロイの木馬によるキーストロークの直接の盗取
2:OSやブラウザを乗っ取って実行される偽サイトへの積極的な誘導
これらは,個人のPCで発生してきた基本的な脅威の応用型なのですが,発生する被害はかなり深刻なものとなる可能性があります。
とにかく,OSやブラウザの脆弱性を少しでも解消してもらいたいです。毎日のように個人IP向けにDDoS攻撃があり,ウイルス付メールが何通も寄せられ,スパイウェアがやってくるのを目の前で見ていると,どこまで持ちこたえられるのか,とても不安な毎日です。
Posted by: 夏井高人 | 2005.02.08 08:06
夏井先生、コメントありがとうございます。人間の歴史の中でITは比較的新しい分野で、変化が激しい分野ですので、経験から学べることが少ないですね。したがって、ITに関連する脅威としてどのようなものがあるのかを経験から学ぶのが難しいですね。そういう時には、どのような脅威がありうるのかを予想することが必要ですが、そのよう脅威を想像力豊かに予想し、かつ、不必要に不安を煽らない専門家の存在が重要ですね。
専門性が高く、かつ広い知識を有し、人格的にもよい人・・・なかなか難しいですね。。。
ということで、夏井先生に期待です。よろしくお願いします。
Posted by: 丸山満彦 | 2005.02.09 00:27
丸山 様
夏井です。
おはようございます。
> ということで、夏井先生に期待です。よろしくお願いします。
と言われても預言者でも手相診でもないので,困りますが・・・(笑)
おそらく,近い将来やって来る(または,すでにある)脅威として社会的な影響度の高いものは,ソフトウェアスキミングではないかと予測しています。
これは,幾つかのトロイの木馬やスパイウェアというような実装例によって実現可能性が確認されてきたものですが,より広範囲に濫用される危険性がある。
しかも,スキミングによって盗まれたデータを転送するパケットそれ自体は,ごく普通のパケットのように偽装されてしまっているので,パケットの監視によっては対処不可能である可能性が高いです。
クレジットカード等の読取装置へスキマーを忍ばせる場合と異なり,非常に多くの無防備な一般ユーザのPCへソフトウェアスキマーをもぐりこませることは,かなり容易なことではないかと思われます。
もしかすると,マザーボードやバイオスレベルでの技術的対応が必要になるかもしれません。
ちなみに,話題ずれますが,某有名メーカーの超有名PCではバイオスのプログラムにバグがあってWindows XPのセキュリティ更新パッチあてができない状態ですね。
ほんと泣きたくなりますよ・・・
Posted by: 夏井高人 | 2005.02.10 10:15
丸山 様
夏井です。
占い師でも競馬の予想屋でもありませんが(笑),個人のPCのレベルでの脅威として,もう一つ心配しているものがあります。
それは,Personal Firewall Softwareの特性を悪用したDoS攻撃とそれによる個人PCへの侵入です。
一般のユーザは,Personal Firewall Softwareのインストールはできてもそれを管理することができない。ときたま侵入の試みを検知してもログを見ることができない。ログを見ることができても内容を理解することができない。
そのために,例えば,本当にDoS攻撃があり,その侵入検知がなされたことをプロバイダ等の管理者に通知・連絡しても,「それはFirewallの誤動作または誤検知の可能性が高い」と言われてそれで終わってしまうのことが多々あると思います。
しかし,その中には本物の攻撃も含まれており,しかも,プロバイダ等の管理者から「誤検知」と言われてしまうと,次から同じような警告が出たときに,面倒くさがって,そのような警告を発するタイプのアクセスを「常に許可する」に設定変更してしまうといったような出来事が発生する危険性があると考えています。
これは,一つの極端な想定例です。しかし,このようなごくありふれた人間的な要素によって,せっかくの防御システムが中から崩壊してしまうことになる場合があり得ますし,実際に多数存在するかもしれません。
このようなタイプの問題についても急いで,かつ,十分に検討すべきではないかと思っています。
Posted by: 夏井高人 | 2005.02.10 10:31