なぜ、ログインページにSSLは使われないのか?

Sponsored Link

未だに?と驚いたリリースがIT pro Securityから。

米SANS Instituteは現地時間7月6日,ユーザーIDやパスワードを入力させるようなログイン・ページでは,パスワードなどの送信にSSL(Secure Sockets Layer)を使うだけではなく,ログイン・ページ自体もSSLにすべきだと注意を呼びかけた。フィッシング詐欺などを目的としたなりすましを防ぐためである。

インターネットを使い始めた頃から、「SSLのページだからと言っても安心は出来ない、そもそもログインページは暗号化されていない」と書かれたものをよく目にしている。これだけセキュリティが話題になる時勢に、いまだにログインページの大半がSSLがかかっていないらしい・・・。最近に自分がアクセスするサイトでは、ログインページで、SSLありのログインページか、SSLなしのログインページかを選択できるところが多くなっているようだ。例えば、ヤフーなりライブドアなりだ。流石にグーグルはログインページはSSLのみだ。
しかし、自分が使っているサービスをざっと見直してみたら、SSLなしのログインページのサービスが多いことがよく分かった。前から気にはなっていたことだが、改めて確認してその多さに驚いた。

Sponsored Link

SANS Instituteでは,最近確認されたフィッシング詐欺目的の偽サイトを引き合いに出して,SSLの重要性を説明する。この偽サイトは,米Yahoo! が提供する写真共有サービス「Yahoo! Photos」に見せかけたもの。URLを見れば偽物であることが一目で分かる単純なフィッシング・サイトである。

この偽サイトを見て、「このサイト、おかしいぞ!」と気がつかない人はあまりいないとは思うが、あまりコンピュータリテラシーの高くない人は、やっぱり疑問を感じないかもなぁ。

いくらログイン後のページがSSLだと言っても、ログイン時にID/パスワードを盗まれてしまえばねぇ・・・。

ちなみに、某アンケートサイトから送られてくるアンケート依頼のメールは、以下のように書かれている。

以下よりログインしてください。
      ↓↓↓
【●●●● 様のマイページ】
http://click.121survey.com/cassctrl/cgi-bin/ms.cgi?ci=XX・・以下略

↓↓↓上記URLでお答えいただけない方はこちらから↓↓↓

【SSL非対応】
http://click.121survey.com/cassctrl/cgi-bin/ms.cgi?ci=Xxci=XX・・以下略

【SSL対応】
https://click.121survey.com/cassctrl/cgi-bin/ms.cgi?ci=XKci=XX・・以下略

どう見ても、SSLでアクセスして欲しくないとしか思えない。マイページへのアクセスは非SSL、アンケートに直接アクセスするURLは「非SSL」の方が上に置かれている。
今時、SSLを使えないブラウザなんかないよっ!SSLでアクセスされるのに耐えられない貧弱なサーバなのかよっ!(ご存知ない方のために解説を加えると、SSLでのアクセスは非SSLでのアクセスに比べ何倍もの負荷がWEBサーバにかかるため、SSLを嫌がるサイトもある)

IT pro Securityは以下のように結んでいる。

SANS Instituteでは,「SSLを使う理由は,暗号化と認証の2つ」であり,パスワードなどの送信にSSLを使う(POST先にSSLサイトを指定する)だけでなく,ログイン・ページの表示にも,そのページが本物かどうかを確認できるようにSSLを使うよう強く勧めている。

今更、そんな勧告をしなくてはならない状況って、どういうことなのだろう?サーバ管理者のセキュリティ意識ってそんなものなのかな・・・。この状況では、初心者がフィッシングにかかったり、ID/パスワードを盗まれたりといった事件は当面なくなりそうもないな。

Sponsored Link