模倣サイト注意喚起に踊った輩を否定するだけの連中は何が迂闊だったか

河本孝之(Takayuki Kawamoto)

Contact: https://plus.google.com/112326853631114362590/about

First appeared: .

3s3s.org が「(悪意を予想させる)コピーサイト」であるという指摘なり断定は、もちろん間違いだ。必ずしも信用しているわけではないが、参考までにサイトの管理者に質問した方のエントリーがある。

http://d.hatena.ne.jp/Kango/20140824/1408898621

オリジナルのサイトが危険なわけでもなく、ましてやオリジナルのサイトからリソースをそのまま引っ張り上げているだけの 3s3s.org も(でも、それって誰が証明したの?)、それだけのことで危険だというわけではない。そういう意味で、3s3s.org を通して見ているだけのサイトを(セキュリティの問題として)、それだけで危険であるかのように注意喚起していることに、ひろみちゅが Twitter で怒っているのは理解できる。つまり、3s3s.org に限らず、gw.aguse.jp のようなゲートウェイサービスを通して閲覧しているサイトが仕組みからして「偽サイト」というわけでないのは、少なくとも僕らには理解できる。

なお、これはお遊びだが、3s3s.org の仕組みを再帰的に利用すれば、

http://3s3s.org.3s3s.org.3s3s.org.3s3s.org.3s3s.org.3s3s.org.3s3s.org.3s3s.org.3s3s.org.3s3s.org/

という URL も生成できる。

したがって、「模倣サイト」として注意喚起しているメディアなり官公庁に正確な説明を促すということなら話は分かるが、情報セキュリティの問題として原理的に危険だとは言えないからといって、こうしたサービスを使っても全く何の問題もないかのように逆宣伝して回るセキュリティオタクについては、Yahoo! JAPAN の楠さんと同じく、やはり強い違和感がある。

ひろみちゅは、 自分でプロキシだと分かっていてアクセスしている人には注意喚起する必要がない (だって、「そういうもの」だと分かっているのだから)と言うが、だからといって全ての人に注意喚起する必要がないというものでもなかろう。今回は、注意喚起の理由が間違っているか不正確だっただけにすぎず、「こういう URL を信用してはいけない」という趣旨そのものは正しいと思う。こういうサービスにアクセスするのはセキュリティ関係者だけでもないし、正規の FQDN にリクエストできない気の毒な国の人々だけではない。こういうサービスによって表示されているサイトだと知らされていない第三者についてはどうなのか。マルウェアをダウンロードさせられることが分かったサイトが放置されていた場合、正当な FQDN でアクセスすると OpenDNS なり FQDN を登録しているセキュリティソフトに弾かれても、こういうサービスを通した別の FQDN まではブロックされないかもしれない。

実際、ESET Smart Security がブロックしているサイトへ 3s3s.org を通してアクセスできる。

ここで、ひろみちゅは「それは通常のフィッシングサイトと同じ基準で判断すればいい」と言うが、このようなサービスを逆に手放しで安全であるかのような大合唱が起きている発端を(Twitter でだけだが)作っておいて、それはなかろう。フィッシングを回避するためのポリシーだけに限った話ではないが、正規の FQDN かどうかという基準にしたがえば、3s3s.org を通したサイトは仮に原理的に安全だとしても閲覧すべきではない。(もちろん、こうしたサービスは「原理的に」安全だったり危険だったりするというものではないと思うが。)

こうしたサービスに問題がないと騒ぎ続けることが(逆方向に騒いでいる「中級」セキュリティオタクどもにとってはともかく)、信頼しうる正規の URL なのかどうか気にするという習慣を discourage しかねないという点について、少しは考慮したらどうなのか。情報セキュリティの対策なり問題の多くは、クソオタクが騒いでいるような小手先技術ではなく、手順やマネジメントの仕組みや人の心理にかかわるものだ。

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook