オリンピックに便乗した攻撃が始まった:セキュリティクラスタ まとめのまとめ 2019年6月版(3/3 ページ)
2019年6月のセキュリティクラスタは、「オリンピックのチケット抽選と攻撃」「サークルKサンクスのドメインを対象とした高額オークション」「政府の『e-Gov』Webサイトのhttps対応」の他、「入力をサーバに送信するIME」が話題となりました。
e-Gov法令検索サイトがhttps化、しかしリダイレクトされない
かつては多くのサイトで、重要な情報をやりとりするページ以外、暗号化されずにhttpプロトコルで提供されていました。最近ではWebサイト全体をhttpsで運営することが多くなっています。そのため知らないうちに「http://」だったページが「https://」に変わり、久しぶりにアクセスするとうまくアクセスできないということもあるようです。
6月の終わりには「e-Gov法令検索サイト」という、利用者の多い政府運営のポータルサイトがhttps化しました。httpアクセスした際にhttpsの同名ページへリダイレクトせず、統一のエラーページにリダイレクトされてしまいます。このような対応について話題となり、賛否両論さまざまな意見が飛び交いました。
httpからhttpsにURLが変わっただけならば、そのままhttpsにリダイレクトしてくれるだけでよいという意見が多く見られました。エラーページにリダイレクトされて読めなくなるよりはマシだからでしょう。一方でhttpsにリダイレクトした場合、ブックマークしているユーザーが毎回httpの方にアクセスするため、情報が漏れる危険がある、偽サイトに誘導される危険があるといった意見もありました。
この意見に対しては、サーバの設定でリダイレクトさせるとともに、Webブラウザを強制的にhttpからhttpsにリダイレクトさせるHSTS(HTTP Strict Transport Security)ヘッダを付ければよいという意見が目立ちました。HSTSヘッダを付けても初回はhttpにアクセスするから安全でない通信路を通るのでは、という意見には、HSTSプリロードさせるようにサーバを設定して登録すれば初回からhttps接続されるのでよいという意見もありました。
httpが単純にhttpsになっただけなので、ローカルでリンクを管理しているユーザーが機械的に置き換えればよいという意見もありました。httpでアクセスしている人は情報が古くて更新されていないため、わざと不便にして、httpsに書き換えてもらえるよう促進しているという解釈もありました。エラーページに本来リダイレクトされるページへのリンクを掲載すればよいという意見もありました。
また修正が不十分で、PDFに書かれているリンクがhttpのままになっていて、アクセスできないことに言及するツイートもありました。サイトのhttps化で安全になるのは良いことです。しかし、利便性との兼ね合いが問題になる場面がこれからも多くなりそうです。
この他にも、6月のセキュリティクラスタでは次のような話題が注目を集めていました。7月はどのようなことが起きるのでしょうね。
- Yahoo!スコアは個人情報?
- IMEはキーロガー? オメガのキーボードSDKを採用したアプリは何をしている?
- 元妻が住む家のエアコンを遠隔操作で嫌がらせ!? 海外の事例
- Appleがシングルサインオンソリューション「Sign in with Apple」を発表
- 自宅サーバでTwitter連携サービス「TwiGaTen」を運営していたら神奈川県警に家宅捜索された
- パスワードをBase64で暗号化? VTuberファンコミュニティーサイト「MeChu」の個人情報流出事件
- クラウドサーバのストレージ暗号化、必要性って?
Copyright © ITmedia, Inc. All Rights Reserved.