2022年07月01日に初出の投稿

Last modified: 2022-07-01

オンラインで SSL サーバ証明書の設定をチェックしたり評価できるサービスがある。あるいはウェブサイトが提供している web font とか画像とかのコンテンツがページの表示にどのていど影響するかを測定して評価する「パフォーマンス・テスト」と言われているサービスがあったり、任意のドメインや URL の運用されているサーバについて IP アドレスとか所在地を調べるサービスもあるし、入力した FQDN までの通信経路を traceroute などで調べてくれるサービスもある。

はっきり言って、どれも危険である。

これはプライバシーマークや ISMS のマネジメント・システムを15年以上にわたって運用し、電通・博報堂などから受注した大企業のキャンペーン・サイトについて、長らくサーバ構築からシステム開発やセキュリティ対策まで担当してきた実績のある人間として明言させてもらう。迂闊に、知らない人間や聞いたこともない会社が公開している、こういう「サービス」は使わないように強くお勧めする。

理由は簡単だ。こういうサービスを利用する際に入力し送信したドメインや FQDN や URL は、全て勝手に別の目的に流用されたり、あるいは無断で他人に公開されたりするからである。もし公開前のテスト段階にあるサイトだとか、あるいはステージング用途だけに使っているテスト専用サーバなどの URL を、オンラインのセキュリティ・スキャナなどと称するサービスに登録したり送信してしまえば、もうそのサイトは秘密でも非公開でもなんでもなくなる。アクセスに認証がかかっているかどうかなんて、実は大した問題ではない。そういう特定の FQDN があって利用されていることが分かれば、それでいいのだ。あとは、そのサイトを攻撃するかどうかは攻撃者の暇と関心とコストの問題だけで、僕らが全く制御不能なところで決まってしまう。もちろん、侵入するかどうか、あるいは単にサイトを落とすだけのために DDoS を仕掛けるかどうかなど、どう攻撃されるかは相手の自由だ。

もちろん、一定の条件を満たせば利用できる、安全と思えるサービスもある。僕も、Qualys というナスダックに上場している会社の提供する、SSL サーバ証明書(の設定)を検証するサービス(SSL Server Test)を利用している。それでも、ここのフォームに FQDN を送信するときは、必ず "Do not show the results on the boards" というオプションをチェックして第三者に FQDN が知られないようにしている。こういう保守的な態度を「太いものに巻かれる」などと批判することはたやすいが、では自分で利用するサービスが本当に安全なのかどうか、自分で調べる能力や知識がある人はいるだろうか。もしそんな能力や知識が僕よりもあるなら、皮肉なことに、あなたはそもそもこんなオンライン・サービスを使わなくても自分自身で SSL サーバ証明書の検証ができる筈だ。「太いものに巻かれるな」というのは、そうしないリスクを自分で責任が取れる者や、リスクを取っても更によい結果を期待できると判断する力のあるものだけに許されるコミットメントやチャレンジなのであり、凡人あるいは少なくとも僕より知識や技術や経験のない者が興味本位でやるのは、ただの愚行である。そして、そんなことを世界中の人が繰り返したところで、サービスを運営している側のスキルが上がるわけでもなければ技術が向上するわけでもなく、そして彼ら自身が儲かるわけでもないのだ。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook