こんばんは、じぇいかわさきです。今回はネットでセキュリティを向上させるシンプルな方法について紹介したいと思います。
ネットでセキュリティと言えば、詐欺メールやウィルスメールを除けば、ほとんどの場合Webサイトの訪問による被害だと思います。悪意のある事以外でも、実はクッキーも情報漏洩につながっているんですね。
今回の内容は、このクッキーの防御に関わる話が中心なんです。この機能が実現されることにより、ネットでのセキュリティは大幅に向上させることができるのです。

ネットでセキュリティにおける課題

昔、1990年代の中頃かな、インターネットが日本で普及しだしたころ、ブラウザはまだ統一規格があいまいな状態で、作っている各社がとりあえず中身をきれいに見せることが中心だった。
セキュリティなんてのは二の次と言うか、まだそのような事は騒がれない時代だったよね。Netscapeの邁進に危惧したマイクロソフトが、自社規格でInternet Explorerを作ってしまった事自体が、当時はその代表例だった。
時代と共に、新しいブラウザがたくさん出てきたが、セキュリティやプライバシーと言うことは、相変わらず重要視されず、ブラウザは表示スピードと再現の信頼性に重点を置いていたからだ。
そして21世紀になってから、Googleが検索と言う行為に着目し、その検索技術を手中に入れる事により、ネットを支配するようになってきた。
同時に、検索されるキーワードに関わる広告を表示することにより、そこにビジネスチャンスを見出したんです。
その結果として、広告により長い間インターネットの利用は無料になっていたんです。。
しかし、広告主が、自社売り上げを向上させるために、Webユーザーに対して侵略的な広告トラッキングが全盛をきわめるようになると、オンラインのプライバシーに対する懸念が、ようやく取り沙汰されるようになり現在に至るようになったのです。
現代におけるネットでセキュリティにおける課題の中心は、オンラインのプライバシー侵害なんですね。
ネットでセキュリティにおける世の中の動き
近年、このオンラインプライバシーについて非常に敏感な問題だと世界的に認知され、ブラウザを提供している各社が、一斉に広告業者がサイトを越えてユーザーをトラッキングすることを防止する機能を装備したのです。
ここで言うブラウザ供給会社とは、GoogleのChrome、FireFox社のFireFox、マイクロソフトのEdge、そしてAppleのSafariのことです。
各社は、ユーザーが広告業者がブラウザのクッキーを使って、行動パターンをトラッキングしていく事を好ましい行為ではないと判断しだした事が理由です。
[ads]
広告で売り上げを上げている、Googleもこのように考えていることがなんか矛盾しているように思えますが、Googleの社訓である「邪悪になるな」というところから、この行動に移ってきているんでしょうね。
そして、このユーザーのネット上での行動を記録しているのがブラウザに埋め込まれているクッキーと言う機能なんです。
HTTP cookie(エイチティーティーピークッキー、単にクッキーとも表記される)は、マジッククッキーの一種であり、RFC 6265などで定義されたHTTPにおけるウェブサーバとウェブブラウザ間で状態を管理する通信プロトコル、またそこで用いられるウェブブラウザに保存された情報のことを指す。ユーザ識別やセッション管理を実現する目的などに利用される。
言い換えるとHTTPでは、同じ瞬間に同じ内容の要求を行っていれば、そのクライアントが以前にどのような通信を行っていても区別されない。HTTPはその意味で現在においてもステートレスなプロトコルである。
その一方でWorld Wide Webが普及するにつれ、状況によって異なる内容のページを提供したい
というニーズが生まれた。そのようなニーズをHTTPのみで満たすには、IPアドレスによって区別する、状態を表現したユニークなURLを生成するなどの方法がある。しかし、プライベートネットワークからのアクセスを区別できない、本来二度起きない状態が同じURLにアクセスすることで何度も発生する、セキュリティの問題などいずれも容易に解決できない欠点を抱えていた。
このように、クッキーにはセキュリティの問題が存在しているため、この問題を解決することがネットのセキュリティを向上させる有効な手段だと、各社は認識しているんですね。
ネットでセキュリティを向上させる2つの機能
このクッキーの問題に対処するため、世界で現在2/3のシェアを占めているGoogleのChromeに、Googleは2つの機能を組み込む事を公開したのです。
その他のブラウザは各社で独自の方法により、新しいトラッキング防止機能を搭載することを発表しております。その内、マイクロソフトのEdgeはGoogleのChromiumベースになりますので、基本はChromeと同じ機能を搭載することになるんですね。
GoogleのChromeに搭載される2つの新機能はつぎの2つなんだ。
- クッキーのコントロールによって、広告業者がウェブサイトをまたいでユーザーの行動をトラッキングすることを制限する機能
- 新しいフィンガープリント対策
まず、1の対策をするとChromeを使用するユーザーは、ユーザー本人による明示的な同意が得られなければ、ドメインが異なるサイト間でクッキーが機能することを禁止してしまうことになる。
簡単に言うと、広告業者は、ユーザーから追跡の許可が得られない限り、ユーザーが訪問したさまざまなサイトで何をしているのか把握することができなくなるわけだ。
つまり、ユーザーがネット内の、どのサイトを訪問しているのかというトラッキングを取ることが出来ないということ。
[ads]

ここで問題となるのは、クッキーに記録されていたログイン情報などで、この対策をすることにより、同一ドメイン以外はログアウトされてしまうと言うことですね。
この機能を追加することにより、更にネット世界では良い方向に向かうのだそうだ。
それは、クロスサイトのクッキーをブロックすると、ハッカーがクロスサイト脆弱性を突くことが難しくなる問うことらしい。
クロスサイトリクエストフォージェリ(CSRF)と呼ばれる攻撃では、悪意のあるウェブサイトが、ユーザーがログインしている正当なサイト上で、ユーザーに気付かれずにコマンドを実行することが可能となる場合もある。
クロスサイトリクエストフォージェリ (cross-site request forgeries) は、Webアプリケーションの脆弱性の一つ
もしくはそれを利用した攻撃。略称はCSRF(シーサーフ (sea-surf) と読まれる事もある
)、またはXSRF。リクエスト強要
、セッションライディング (session riding
) とも呼ばれる。1990年代はイメタグ攻撃とも呼ばれていた[要出典]。脆弱性をツリー型に分類するCWEではCSRFをデータ認証の不十分な検証 (CWE-345) による脆弱性のひとつとして分類している (CWE-352)[5]。
なおCSRFの正式名称はクロスサイトスクリプティング (XSS) と似ているが、XSSは不適切な入力確認 (CWE-20) によるインジェクション (CWE-74) のひとつとして分類されており[5]、全く異なる種類の攻撃である。
CSRF脆弱性とは以下のような攻撃(CSRF攻撃)を可能にする脆弱性を指す
:攻撃者はブラウザなどのユーザ・クライアントを騙し、意図しないリクエスト(たとえばHTTPリクエスト)をWebサーバに送信させる。Webアプリケーションがユーザ・クライアントからのリクエストを十分検証しないで受け取るよう設計されている場合、このリクエストを正規のものとして扱ってしまい、被害が発生する。CSRF攻撃はURL
、画像の読み込み
、XMLHttpRequest
などを利用して実行される。
具体的被害としてはデータの漏えい
、意図しないコードの実行
、権限の取得
、なりすまし
、防御メカニズムの回避
、アプリケーションデータの読み取り
などがありうる。権限の取得が可能な場合、その被害はユーザの持つ権限に依存する。ログインしていない状態でも起こりうる主な被害としてユーザ・クライアントに電子掲示板などへ書き込みをさせる行為があり[6]、これを利用してユーザを装った犯罪予告(例:パソコン遠隔操作事件)や大量の書き込みをさせるDoS攻撃
引用 ウィキペディア:CSRF
そしてもうひとつが新しいフィンガープリント対策です。
実は自分も知らなかったのですが、最近では、ブラウザに固有のフィンガープリントを使って、ユーザーがどのサイトを訪問したかを知ることも、かなり容易になっていらしのです。
フィンガープリントは、ウェブサイトや広告業者が、ユーザーが使っているブラウザに関する情報をできるだけ詳しく収集するための手法らしく、Google Analyticsで取っているような情報をブラウザから集められるらしい。
これをGoogleはChromeで出来ないようにしようとしているらしいのです。ただ、前者のクッキーについてはhttpsプロトコルを用いて対策を検討しているようですが、後者のフィンガープリントは具体的な技術は未だ公開されていないようです。
しかし、凄い時代になってきましたね。
まとめ
今までは、詐欺メールやウィルスメールをクリックする事で、個人情報を窃取されると言う状況でした。
この場合は、個人が騙されて相手に渡してしまうわけなので、いわゆるネットリテラシーと言う話がクローズアップされていました。
しかしながら、今日お話しした内容は、個人で対応すると言う話ではなく、ブラウザを供給している会社を信頼し手使用すると言う世界の話ですね。
もし供給会社が邪悪な会社で、個人情報を窃取していてもまったく気が付かないと言うことになると思います。
今度は、個人が使うブラウザを選ぶことによって、情報漏洩があるか無いかの世界になるんでしょうね。
当然、そのブラウザを改竄した偽のブラウザも出回ってくることは、十二分に予想されるので、結局世の中の情報を常に収集して、自分が騙されないようにネットリテラシーを向上させていく以外に対策は無いですね。
結局のところ、ネットでセキュリティの対策をするには、個人のネットリテラシーと言う部分に行きつくのかもしれません。
内容が専門的な事もあり、非常にとっつきにくい内容だと思いますが、知らなかったでは済まされない時代がすぐそこまでやってきているのも事実です。
出来る限り、分かりやすくネットリテラシーの向上になるように、情報展開は続けていこうと思っています。
