大澤氏がなぜ頑なに自分の意見を曲げないのか、色々と考えていたら一つの仮説が思いついたので解説します。
そもそも何が起こったか知らない人はこのあたりを読んでください。
大澤氏の人格的なことについては正直色々思うところはありますが、ここでは触れずに技術的なことを書いていこうと思います。
HTTPS であれば 90% 安全か
彼が何を考えてこの発言をしたのかは残りの 10% についての解説を聞くとわかります。
気象庁がハッキングされている場合は、信用されているって出ていても信用できない。abema.tv
そもそもウェブサイトを閲覧する際にそのサイトがフィッシングサイトであるかないかという文脈では、通信が HTTPS であることは次の2つの意味を持ちます。
- ドメインが認証局から認証を受けている
- 通信が暗号化され、改ざんされていないことを保証する
1. についてですが、この鍵マークをつけるには「私が言うことは本当ですよ」とみんなが事前に認めた認証局から認証を受ける必要があります。昔は認証を受けるのにそれなりにお金がかかり、必ず何らかの方法で物理的に会社の証明などを送ってそのドメインが本当にその会社のものですよ、というようなことを証明しなければいけなかったのですが、最近は Let's Encrypt というサービスを使うと誰でも無料で簡単に認証してもらえるようになったので、鍵がついていること自体によりその運営者がまともであるということは証明されません。これについては大澤氏もあとの議論
Let's Encryptとか枝葉末節だしどうでもいい。Twitter
と言っているので大した意味がないということは分かっていると思います。確かにテレビとかでいきなりコメントを求められたらなんとなく言ってしまって、後でそういえばセキュリティにはあんまり寄与してないな、と思うことはあると思うのでこれについてはいいと思います。
Let's Encrypt が Encrypt を標榜しているように、今では HTTPS が大切なのは 2. のためです。もともとホームページを見るのに使うのは HTTP というプロトコルでした。このプロトコルは仕様上暗号化の仕組みが備わっていないため、ブラウザから送った情報やブラウザに送られてくる情報は、例えば同じ WiFi に繋がっていれば簡単に覗き見ることが可能です。逆にブラウザから送る情報やブラウザに送られてくる情報を、書き換えてしまうことも可能です。HTTPS ではこのようなことはできません。
この通信内容の傍受や書き換えをフィッシングサイトに応用することが可能です。公共の WiFi において、例えばあるショッピングサイトへのアクセスを傍受して送られるクレジットカード番号を盗み見たり、気象庁のサイトにアクセスする人に対してサーバーから返されるページの内容を書き換えて悪意のあるアプリへのリンクを送ったりすることができます。
HTTPS だとこのようなことはできませんが、例えば気象庁のサイトをハッキングしてページの内容を書き換えてしまえば、ブラウザが接続するのはあくまでも気象庁のサーバーなので、ブラウザは何も疑うことなくその書き換えられたページを表示することになります。これがその残りの 10% の、HTTPS なのにフィッシングサイトに接続している、という問題となります。
正しそうじゃん
これだけ読むと大澤氏は正しそうに思えます。実際に大学のセキュリティ講座のようなところで扱うのは上記のようなケースだと思います。ただ、実際は攻撃者もこんな面倒くさいことはせずに、もっと稚拙な方法で攻撃をしてきます。
例えば、まず遠目に amazon.co.jp に見える amaz0n.co.jp というドメインを取ってしまいます。Let's Encrypt を使って認証も受けておきましょう。次にログイン用のページを amazon.co.jp のものを参考に amaz0n.co.jp 上に作成します。パスワードは何を入力しても適当にパスワードが間違っています、と返すようにしておきます。同時に攻撃者のところにその入力したパスワードが送信されるようにしておきます。次に、適当に集めたメールアドレスに、「パスワードが流出しました。こちらからログインしてパスワードを変更してください! https://amaz0n.co.jp/password_change」のようなメールを送ります。人によっては、このサイトは HTTPS だから安心だと思ってアクセスし、現在のパスワードを入れてしまうかもしれません。ブラウザ上では、その時アクセスしているサイトは正真正銘の amaz0n.co.jp で、通信も暗号化されているので鍵マークはちゃんと表示されています。だって amaz0n.co.jp は、似ているだけで amazon.co.jp と全く違うサイトですから。
結局
話が噛み合わないのはアンジャッシュのように話題が違ったためでした。確かに学術的な話であれば大澤氏の言ってることに間違いはないです。その後の批判に対する反論も一貫しており、まあたしかに HTTPS で防げるような攻撃方法は HTTPS で 90% は防げるわけです。ただ、批判している人は誰もそんな話はしていないわけで、当然セキュリティの専門家として求められていることもそんなことではないはずです。実際にフィッシングのメールはよく来ますが、一度でもそのメールがどういう仕組で自分を騙そうとしているのか考えたことがあれば、批判された内容も理解できたのではないでしょうか。
0 件のコメント :
コメントを投稿