IPAが「『暗号をめぐる最近の話題』に関するレポート」を公開

IPAからこんな文書が。

個人的に気になったのは「2.2 オンラインショッピングでSSLプロトコルが動作せず - 大手百貨店のケース」の部分。

大手百貨店のECサイト[1]で、SSLを使用していると説明されていながら、実際には暗号化が成されていなかったというもののようで、要点をまとめるとこんな感じです。

  • システム更新時の設定ミスにより、SSLが動作しない状態で運用が行われていた。
  • 2010年5月から2011年3月まで9か月以上の間、発覚しなかった。
  • 期間中、コンテンツを何度か更新している(はず)にもかかわらず、発覚しなかった。
  • 発覚は利用者の指摘によるものであった。すなわち、指摘がなければさらに放置されていたかもしれない。
  • 6,000人を超える利用者による7,444件の利用があったにもかかわらず、それまで誰も気づかなかった。

興味深いのは、運営側の姿勢だけでなく、気づかない利用者側に対しても問題視をしている点です。

SSLプロトコルが使われているかどうかを確認する手段として、ブラウザのURLアドレスバーでの「https://」表示と「南京錠」表示がある。オンラインショッピングに限らず、Webページに個人情報やパスワード、クレジットカード番号などを入力する場合には、それらの表示を見てSSLプロトコルが使われていることを確認するよう、様々なところで啓発されている。

しかし、本件の場合、実際にはSSLプロトコルを使っていなかったことから、当然ブラウザには「https://」表示も「南京錠」表示もなかったはずである。それにも関わらず、多数の顧客が利用していたという事実は、顧客側も、大手百貨店のWebサイトでSSLプロトコルが実際に使われているかを確認してから行動していたのではなく、大手百貨店のWebサイトなのだから安心に違いないという思い込みで行動をしていたことを図らずも示したことになる。

(中略)

また、利用者も、たとえ有名な企業のWebサイトだとしても、少なくとも個人情報やパスワード、クレジットカード番号などを入力するページでは、「https://」表示と「南京錠」表示を確実にチェックすることでSSLプロトコルが正しく動作しているかを確認する癖をつけていただきたい(図3参照)。

『暗号をめぐる最近の話題』に関するレポート pp.5-6(PDF)(www.ipa.go.jp)

ウェブサイトのセキュリティと一口に言ってもさまざまな種類がありますが、暗号化に関しては必ず利用者自身が安全であることを確認する必要があります。この6,000人に限らず、「鍵アイコン?気にしたことないよ」「そもそもSSLって何?」という方も多いと思いますが、少なくとも2.2章に関しては専門用語も少なく、私のような素人にも判りやすく書かれているので、すべての「ウェブ利用者」に読んでほしいですね。

  • [1]固有名称は伏せられていますが、ググればすぐ出てきますね。