スパム対策の進化

グーグルがスパム対策の一つCAPTCHAの新技術をテストしている。(CNET記事:グーグル、ボット対策で新たなCAPTCHA技術をテスト)

CAPTCHAというのは、ブログのコメント投稿や無料メールアカウントの登録などに、人間が操作していることを確認するシステムだ。皆さんも遭遇したことがある、あのゆがみやノイズの混じった文字の画像の事である。その画像中の文字を入力させ、機械による自動登録を防止するシステムだ。

しかし、既に、画像解析ソフトウェアを駆使することにより、文字によるCAPTCHAは破られてしまっている。今回は、写真の上下などの向きを判定するもので、機械には難しいとされている。例えば、普通の水平線の写真を見れば、人間ならどちらが空か海か判定できるが、ソフトウェアでこれを判定するのは大変だ。しかも、写真の種類は、風景の他、顔、花(植物)、乗り物など幾つも考えられる。例えば、風景を判定することができるようになっても、どんどん、別の種類の写真の判定するソフトウェアを開発していかなければならず、今度こそ、究極のスパム対策となるかもしれない。

なぜ、グーグルがスパム対策に力を入れているか?それは、グーグルメールがスパム対策としては優れており、グーグルメールアカウントでスパムを送る必要があるからである。通常のホームページにこのような対策を施すのは、すこしオーバースペックであろう。費用対効果を考える必要がある。

さて、スパム発信業者も生き残りをかけて、技術開発をおこなっている。鍵と錠の歴史にも似ている。矛盾という言葉があるように、最強の盾と矛が同時に存在することは論理的には間違いでも、実世界では良くある状況だ。いつかは、この新技術も破られる時が来るであろうが、そのときは、ソフトウェアの技術が進んだと思えば気も楽である。

クリックジャック攻撃続報

CNETにこのブログでも良く取り上げている「クリックジャッキング」についての記事が掲載されていた。(CNET記事:不正操作を促す話題の攻撃手法「クリックジャッキング」、JPCERT/CCが対策法を公開

いままで、有効な対策法がない為、攻撃手法については詳しく述べられていなかった。記事から攻撃手法が広まっては本末転倒になってしまう。上記では、技術メモをPDF公開しているので、興味のある方はダウンロードして欲しい。(MacのPreviewではエラーとなるのでAcrobatReaderで試してください。)

要約すると

“クリックジャック攻撃続報” の続きを読む

無線LAN脆弱性

総務省が「一瞬で無線LANのWEPを解読する方法」が発見されたと言う報道を受け注意を呼びかけている。

もともと、脆弱性が指摘されていた無線LANは、最近、セキュリティの強化によって、安心感が高まり、広まっている。ゲームやPCを持ち運ぶ際にはやはり便利である。しかし、物理的に閉じていないネットワークは、外部から接続されてしまう。ネットワークのLANポートを公共の場所に作っておくようなものだ。そこに、ハッカーが接続したらと考えると、いくら暗号化でアクセスを防いでも、潜在的な危険は排除できない。

今回は、やはり、落とし穴があったかという感じがする。また、いくら、よりセキュリティの高い設定にせよと喚起されても、それに対応していない古い機器を使用している場合も多い。企業内では極力、無線LANの利用を避けるか、電波の漏洩に気をつけるのが得策である。家庭では、使用しないときは、ルーターの電源をきっておくしか、今のところ、有効な手段はないだろう。

サイト改ざん攻撃

以前からIPAなどがサイトへの攻撃が増えていると警告していたが、数値だけでは実感がわかなかった。しかし、今週は身近で利用している有名ゴルフ予約サイトや公的情報サイトで相次いで、サイトの改ざんの報告がでていた。予約サイトでは、会員向けのメールに悪意のあるサイトへのリンクも埋め込まれ、復旧に数日かかっていた。
下記の様なサイトを運営されている方は再度注意したほうがよさそうである。

  • 会員が画像のアップロードを行える
  • 管理画面でデータのアップロードを行える
  • ブログ
  • 会員登録などデータベース登録を行う

対処法については、弊社やIPAのサイトを参照してほしい。

クリックジャック対策とその後

先日、取り上げたクリックジャック、回避策が難しいために、実際の手法などが公表されていなかったが、もっとも影響をうけるフラッシュの対策をAdobeが発表した。新版は10月中にリリースされる。

クリックジャックの詳細も解説されているが、簡単に言えば、見ているページに透明な悪意のあるサイトが組み込まれ、本当のボタンやリンクをクリックすると、その下にある偽サイトのボタンもクリックすることになると言うものである。本人の知らないうちに、設定を変えたり、操作を行ってしまう。

前回あげた、対策の他、Adobeではフラッシュの「グローバルプライバシー設定」を「常に拒否」に設定することを推奨している。また、US-CERTで安全なブラウザの設定について詳細に説明してある。(英語だが、画面コピーが付いているので、参考になる。)

ホームページ制作でも、影響は大きい。フラッシュは動画としての利用のみ、iframeは利用しないなど制約がふえる。AJAXの普及でJavascriptの利用もふえているが、設定をOFFにするユーザーも多くなることを、考慮すべきである。

更新-Adobeがクリック対策を施したFlash Player 10を正式発表 “クリックジャック対策とその後” の続きを読む

クリックジャック

新たなセキュリティの脅威に研究者達が警告を発している。ZDNETの記事でも問題の性質上、具体的な内容を解説していないが、ホームページのリンクの仕組み(クリックしたら別のページに移動できる)がそもそもねらわれているようだ。危なそうなサイトに近づかないことは、言うまでもないが、改ざんされたホームページから悪意のあるサイトに誘引された場合、何も見えないまま、この攻撃「クリックジャック」を受けてしまう。現状の回避策は下記の通りである。

当面の間は、唯一の対策はブラウザのスクリプト機能とプラグインを無効化することだ。この情報では技術的な情報は伝わらないだろうが、これがわれわれに今できる最善のことだ

しかし、これでは、フラッシュ動画が見られなかったり、サイトとして機能しないものも出てくるだろう。まだ、対策が発表されていない段階なので、今後の、動向を見守りたい。

続報 : Firefox + NoScript “クリックジャック” の続きを読む