アフタヌーンという月刊のマンガ雑誌があるのだが、今発売している号に、インターネットのサイトに侵入しようとするという話が出ている。
今回、セキュリティが大甘なサイトの経営者が出てくるのだが、ここまでセキュリティが甘いサイトは流石に今では珍しいと思う。もっとも、一般には、セキュリティ管理というのは専門家の領域なので、ネタとしてはこの程度で上々なのかもしれない。それに、あまりリアルに詳しく侵入方法とか書くと、何とか幇助罪みたいなことになって逮捕されてしまうのも怖いだろうし。
メールやWebページのデータは、個人情報を含む場合は暗号化するのが常識ということになっているはずだ。インターネットというのは、その仕組み上、どこで誰が見ているか分からない。逆にいえば、いつ誰に除き見されても構わないようなデータ以外は、そのまま扱ってはいけない。
原理上は確かにそうなのだが、実際にどの程度のリスクがあるのだろうか? 一番ありそうな危険は、LAN上の第三者による傍受である。LAN 内のネットワークを流れているパケットを全てモニターするようなソフトウェアを使えば、割と簡単にその内容を覗き見されてしまう危険があるのだ。会社からインターネットにアクセスする場合や、アクセス先のサーバーの近くにあるマシンを誰かが扱う場合などは、このリスクを考えておく必要がある。つまり、悪意をもった社員がいた場合にどうなるか、ということである。
ただ、今ではスイッチングハブが使われることが多くなっているため、見ていたサイトの情報が隣で使っているパソコンでも丸見え、ということは少なくなった。この種のクラッキングを実行するためには、もっとシステム管理者側の権限を持った人が、それなりの場所にあるコンピュータやルータをアクセスしなければならないのである。
もっと大掛かりな盗聴が、通信事業者や某政府機関により実行されている、というようなリアルな噂もあるようだが、そういうスパイ映画的な話まで考えると、これはもう情報を暗号化して送る以外にどうしようもない。
インターネットのショッピングなどを行う場合に、個人情報が暗号化して処理されているかということは重要である。個人情報を入力させる場合に、情報を暗号化して送るようになっているのは当然だが、もちろん、その結果確認のページも、個人情報が含まれているのであれば、暗号化されたページで表示しなければ話にならない。また、驚いたことに、折角こうやって送った情報を、「このようなご注文をいただきました」といった確認のメールで送り返してくるサイトがある。しかも、暗号化も何もせず、わざわざ誰でも見てくださいみたいな状況にしてだ。
このようなバカなことをしてはいけないのは、セキュリティを少し勉強している人なら常識で、参考書にも書いてあるはずである。メールで個人情報を送り返してくるようなショップは、個人情報の扱いも信用できないと考えた方がいいと思う。つまり、そういうショップを使った方が悪いということだ。
では、常識のあるサイトならどういう方法になっているか。まずIDを登録してそれをパスワードで保護する。IDは個人情報とリンクしているが、IDだけでは個人情報を知ることはできない。パスワードも指定しなければならないからである。このような環境を作っておいて、何か注文があったら、指定されているメールアドレスに、注文番号だけを送り返す。ここで、詳細を送り返さないというのがミソである。ユーザーは、暗号化されているショッピングサイトにログインして、注文番号を指定すれば、暗号化したページで、注文の内容を確認することができるのだ。いちいちメールに詳細を書く必要はないのだ。というような仕組みである。
もちろん、暗号化したメールを送るという方法も考えられるのだが、そのようなメールを読む手順がそう簡単ではないので、暗号化されたWebサイトを使うのが現実的には妥当なのだろう。
今回、セキュリティが大甘なサイトの経営者が出てくるのだが、ここまでセキュリティが甘いサイトは流石に今では珍しいと思う。もっとも、一般には、セキュリティ管理というのは専門家の領域なので、ネタとしてはこの程度で上々なのかもしれない。それに、あまりリアルに詳しく侵入方法とか書くと、何とか幇助罪みたいなことになって逮捕されてしまうのも怖いだろうし。
メールやWebページのデータは、個人情報を含む場合は暗号化するのが常識ということになっているはずだ。インターネットというのは、その仕組み上、どこで誰が見ているか分からない。逆にいえば、いつ誰に除き見されても構わないようなデータ以外は、そのまま扱ってはいけない。
原理上は確かにそうなのだが、実際にどの程度のリスクがあるのだろうか? 一番ありそうな危険は、LAN上の第三者による傍受である。LAN 内のネットワークを流れているパケットを全てモニターするようなソフトウェアを使えば、割と簡単にその内容を覗き見されてしまう危険があるのだ。会社からインターネットにアクセスする場合や、アクセス先のサーバーの近くにあるマシンを誰かが扱う場合などは、このリスクを考えておく必要がある。つまり、悪意をもった社員がいた場合にどうなるか、ということである。
ただ、今ではスイッチングハブが使われることが多くなっているため、見ていたサイトの情報が隣で使っているパソコンでも丸見え、ということは少なくなった。この種のクラッキングを実行するためには、もっとシステム管理者側の権限を持った人が、それなりの場所にあるコンピュータやルータをアクセスしなければならないのである。
もっと大掛かりな盗聴が、通信事業者や某政府機関により実行されている、というようなリアルな噂もあるようだが、そういうスパイ映画的な話まで考えると、これはもう情報を暗号化して送る以外にどうしようもない。
インターネットのショッピングなどを行う場合に、個人情報が暗号化して処理されているかということは重要である。個人情報を入力させる場合に、情報を暗号化して送るようになっているのは当然だが、もちろん、その結果確認のページも、個人情報が含まれているのであれば、暗号化されたページで表示しなければ話にならない。また、驚いたことに、折角こうやって送った情報を、「このようなご注文をいただきました」といった確認のメールで送り返してくるサイトがある。しかも、暗号化も何もせず、わざわざ誰でも見てくださいみたいな状況にしてだ。
このようなバカなことをしてはいけないのは、セキュリティを少し勉強している人なら常識で、参考書にも書いてあるはずである。メールで個人情報を送り返してくるようなショップは、個人情報の扱いも信用できないと考えた方がいいと思う。つまり、そういうショップを使った方が悪いということだ。
では、常識のあるサイトならどういう方法になっているか。まずIDを登録してそれをパスワードで保護する。IDは個人情報とリンクしているが、IDだけでは個人情報を知ることはできない。パスワードも指定しなければならないからである。このような環境を作っておいて、何か注文があったら、指定されているメールアドレスに、注文番号だけを送り返す。ここで、詳細を送り返さないというのがミソである。ユーザーは、暗号化されているショッピングサイトにログインして、注文番号を指定すれば、暗号化したページで、注文の内容を確認することができるのだ。いちいちメールに詳細を書く必要はないのだ。というような仕組みである。
もちろん、暗号化したメールを送るという方法も考えられるのだが、そのようなメールを読む手順がそう簡単ではないので、暗号化されたWebサイトを使うのが現実的には妥当なのだろう。