AppleがSafari 3.2アップデートをリリースした際(「Safari 3.2、セキュリティ欠陥を修正」2008年11月13日の記事参照)、従来のセキュリティ欠陥への対処だけでなく、他のブラウザでは一般的で、Appleが最近その不足を指摘されていた2つの新しいセキュリティ機能を追加しました。Safari 3.2では初めて、ユーザーが誤って(あるいは故意に)詐欺サイトにアクセスするのを防ぐための2つのフィッシング対策機能が搭載されました。Appleの常套手段であるこれらの機能は、基本的に文書化されていませんでしたが、少し調査した結果、その仕組みとSafariユーザーにどの程度の保護を提供するのかが明らかになりました。
「フィッシング」という言葉は当初、銀行などの有名なサイトを装ったスパムメールを指し、ユーザーを騙して正規のサイトを模倣した偽のウェブサイトに誘導するものでした。その目的は、ユーザーを騙してログイン情報やアカウント情報を入力させ、それを利用してアカウントから資金を搾取することです。初期のバージョンでは、ウェブリンクを改変して、あるアドレスを表示させながら実際には別のリンク先に誘導するといった程度のものでした。ユーザーや開発者はこのような単純な攻撃の検知方法をすぐに理解しましたが、悪意のある者は技術を進化させ続け、知識豊富なユーザーでさえも騙せるようになりました。フィッシングの定義も拡大し、
銀行からオンラインゲームまで、個人情報を収集しようとするあらゆる偽のウェブサイトが実質的に含まれるようになりました。
FirefoxやInternet Explorerを含むほとんどのWebブラウザに共通する保護機能の一つに、悪質なウェブサイトにアクセスした際に警告を表示する機能があります。ウェブサイトにアクセスするたびに、ブラウザはアドレスをチェックし、悪質なウェブサイトのブラックリストに登録されていないことを確認します。ブラックリストに登録されていない場合は、このチェックが行われたかどうかはわかりませんが、サイトがブラックリストに登録されている場合は、ブラウザに警告ページが表示され、ボタンをクリックすることでアクセスを続行できます。
ほとんどのブラウザに搭載されている比較的新しい保護機能として、EV(Extended Validation)デジタル証明書のサポートがあります。ブラウザのロックアイコンが表示される安全なウェブサイトにアクセスすると、そのウェブサイトのデジタル証明書を使用して暗号化されたセッションが確立されます。この証明書はサイトごとに固有のものです。警告が表示されない場合は、ブラウザに組み込まれている信頼できる認証局のいずれかによって発行された証明書であり、サイトのアドレスが署名されたデジタル証明書と一致していることを意味します(SSLの詳細については、Chris Pepper著「SSL/TLSによる通信のセキュリティ保護:概要」(2007年6月25日)を参照してください)。しかし、実際には、どのサイトでもデジタル
証明書を取得するのは非常に簡単で、一部のフィッシング詐欺師は、偽サイトが安全であると信じ込ませるための手段として、この事実を悪用しています。EV(Extended Validation)証明書は少し異なります。これは非常に高価な証明書であり、証明書が単にウェブアドレスと一致するだけでなく、その背後にある企業と一致することを確認するために、企業は徹底的な審査プロセスを経る必要があります。その代わりに、EV 証明書を持つサイトは、EV 証明書をサポートする Web ブラウザでは異なって表示されます。
役に立つのか? 2008年2月、PayPalの最高情報セキュリティ責任者であるマイケル・バレット氏は、フィッシングフィルタリングとEV証明書のサポートが不足しているため、Safariを使わないようユーザーに警告し、大きな話題を呼びました。Safari 3.2では、これらの批判に対処するため、両方の機能が追加されました。フィッシングフィルタリングはGoogleが提供しており、悪質なサイトにアクセスしようとすると、ブラウザに明確な警告が表示され、手動でクリックして先に進む必要があります。EV証明書のあるサイトにアクセスすると、ブラウザの右上隅、鍵アイコンのすぐ横に、企業名が緑色で表示されます。これらの機能は両方とも
デフォルトで有効になっていますが、Safariのセキュリティ設定でフィッシングフィルタリングを無効にすることができます。
しかし、バレット氏がこれらの機能の重要性を強調しているにもかかわらず、本当にセキュリティ強化につながるのでしょうか?答えは「おそらく」です。ハーバード大学とMITの共同調査によると、ユーザーはブラウザに表示されるこれらの視覚的な警告を無視する傾向があることが示されました。英国のインターネットサービスプロバイダーによる別の調査では、多くのユーザーがこれらのインジケーターの意味すら理解していないことが示されました。セキュリティ専門家としての私の経験では、こうした視覚的なシグナルがもたらすセキュリティ上のメリットは限られています。十分な知識を持つユーザーでさえ、
これらの視覚的なシグナルがそもそも正確だと思い込んで、無視したり見逃したりすることがよくあるのです。
このことがはっきりと浮き彫りになったのは、Safari 3.2 にアップデートしてわずか数分後のことでした。私の TidBITS メールアカウントには三層のスパムフィルターがかけられていたにもかかわらず、カナダ歳入庁を名乗る明らかなスパムメッセージが届きました。そのサイトに悪質ソフトウェアが含まれていないかチェックし、Safari、Firefox、Internet Explorer でアクセスしてみました。フィッシングフィルターがかかっていたにもかかわらず、どのブラウザもサイトをブロックしませんでした。アンチスパム業界の同僚に確認したところ、彼の会社のデータベースにこのサイトが含まれていた (2 日前に発見) とのことでしたが、Google や Firefox および Internet Explorer を動かしているサービスにはまだ検出されていませんでした。その後数時間かけて、彼はテスト用にさらにいくつかのサイトを送ってくれましたが、
どのブラウザでもフィッシングフィルターは反応しませんでした。フィルターが役に立たなかったというわけではありません。彼は実際に警告を発するサイトもいくつか送ってくれました。
ブラックリストの問題は、私たちが知っている悪質なサイトからしか私たちを守ってくれないことです。悪質なサイトにアクセスしないようにするためにこのメカニズムに頼ると、未知の悪質なサイトに騙されるリスクが高まります。セキュリティ(そして科学)の世界では、これを「偽陰性」と呼び、偽陽性(良いサイトを悪質と分類し、セキュリティリスクよりも迷惑な行為)よりもはるかに危険です。
EV証明書のサポートについては、銀行で確認したところ、予想通りのインジケーターが表示されました。残念なことに、私はどのWebブラウザを使っていても、緑色のバナーや枠線、ラベルなどを確認することはほとんどしていません。EV証明書がないことに気づくのは、詐欺サイトにアクセスして大きな警告が表示された場合くらいでしょうが、現状ではどのブラウザもそのような動作をしません。
AppleがSafariを競合他社のレベルに引き上げるためにこれらの機能を追加したことは称賛に値しますが、ユーザーはこれらの機能をフィッシング攻撃からの確実な防御策として頼るべきではありません。サイトがブロックされていないからといって、危険ではないとは限りませんし、サイトがEV証明書を使用しているからといって、Safariや他のWebブラウザでその表示を確認する必要があるとは限りません。