Who do you trust with your web traffic?」より
February 26,2008 posted by Jack Rasgaitis

 インターネットの利用を制限する企業,学校,政府機関が増えている。たいていの場合,ソーシャル・ネットワーキング・サービス(SNS)の「MySpace」「FaceBook」や,ギャンブル,ショッピングなどのWebサイトに対するアクセス禁止を定めたルールを設けている。

 ただし,このようなインターネットのアクセス・フィルタリングを回避できる技術的手法がかなりの勢いで増えている。匿名プロキシ(別名:Webプロキシ)などのサービスは,インターネットのアクセス阻止システムを避ける手段として非常にポピュラーになってきた。

 だが,これらのサービスそのものは安全なのだろうか。答えは「No」だ。

 誰もが匿名プロキシを立ち上げ,第三者に公開して使用してもらえる。Webプロキシのリストは,どの検索エンジンでも簡単に見つかる。これらのプロキシ・サービスは悪用の危険性があり,故意にプロキシ上でデータが傍受され,オンライン・バンキングやPayPal,MySpaceといったアクセス先のあらゆるWebサイトのパスワードが盗まれかねない。

 こうした犯罪行為がどれくらい簡単に行えるか例で示そう。我々は有名な無料Webプロキシをインストールし,トラフィックを監視してみた。その結果,トラフィックが記録され,データが集められ,アクセスしたWebサイトがユーザー名やパスワードとともに露わにされたのだ。

Webプロキシのサイトを利用して「www.myspace.com」を表示する画面
Webプロキシのサイトを利用して「www.myspace.com」を表示する画面
ユーザーがログイン情報を入力して自分のアカウントにアクセスする画面>
ユーザーがログイン情報を入力して自分のアカウントにアクセスする画面

Webサイトにログイン要求を送った際のプロキシ・サーバー・ログ
[15/Feb/2008:08:17:26 -0800] "POST /nph-proxy.cgi/010110A/http/secure.myspace.com/index.cfm=3ffuseaction=3dlogin.
process HTTP/1.1" 200 - "http://10.211.209.53/nph-proxy.cgi/010110A/http/www.myspace.com/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12" "-"

監視したデータには,ユーザー名とパスワードがクリア・テキストで表示されている。

0x0130: 416b 5447 396e 6157 3566 5357 3168 5a32 AkTG9naW5fSW1hZ2
0x0140: 5643 6458 5230 6232 3425 3344 264e 6578 VCdXR0b24%3D&Nex
0x0150: 7450 6167 653d 2663 746c 3030 2532 344d tPage=&ctl00%24M
0x0160: 6169 6e25 3234 5370 6c61 7368 4469 7370 ain%24SplashDisp
0x0170: 6c61 7925 3234 6374 6c30 3025 3234 456d lay%24ctl00%24Em
0x0180: 6169 6c5f 5465 7874 626f 783d 6a61 636b ail_Textbox=jack
0x0190: 6861 636b 6564 2534 306c 6976 652e 636f hacked%40live.co

0x01a0: 6d26 6374 6c30 3025 3234 4d61 696e 2532 m&ctl00%24Main%2
0x01b0: 3453 706c 6173 6844 6973 706c 6179 2532 4SplashDisplay%2
0x01c0: 3463 746c 3030 2532 3450 6173 7377 6f72 4ctl00%24Passwor
0x01d0: 645f 5465 7874 626f 783d 6170 706c 6531 d_Textbox=apple1
0x01e0: 2663 746c 3030 2532 344d 6169 6e25 3234 &ctl00%24Main%24
0x01f0: 5370 6c61 7368 4469 7370 6c61 7925 3234 SplashDisplay%24
0x0200: 6374 6c30 3025 3234 4c6f 6769 6e5f 496d ctl00%24Login_Im
0x0210: 6167 6542 7574 746f 6e2e 783d 3231 2663 ageButton.x=21&c
0x0220: 746c 3030 2532 344d 6169 6e25 3234 5370 tl00%24Main%24Sp
0x0230: 6c61 7368 4469 7370 6c61 7925 3234 6374 lashDisplay%24ct
0x0240: 6c30 3025 3234 4c6f 6769 6e5f 496d 6167 l00%24Login_Imag
0x0250: 6542 7574 746f 6e2e 793d 3132 2663 746c eButton.y=12&ctl

ネットワーク監視ツール「WireShark」による例
ネットワーク監視ツール「WireShark」による例
拡大画面
拡大画面

 ログインするWebサイトがセキュアで暗号化されていても,そこに至るまでの経路で利用する匿名プロキシ・サーバーが同様にセキュアであるとは限らない。

 ブラウザからプロキシ・サーバーまでのトラフィックがクリア・テキストで送信される可能性がある。これは,ユーザーのプライバシーが侵害されることを意味する。電子メール,さらにはMSN,AIM,Google Talkといったインスタント・メッセージ(IM)など,あらゆる通信データが読み取られかねない。

 見知らぬ誰かが,インターネット上でユーザーの一挙一動を監視してアカウントへのログイン情報を収集し,あわよくば儲けようと企んでいることに注意を払うべきだ。つまり,プロキシ・サイトを通じてフィルタリングを回避すると,保護されているはずの組織内に犯罪者を招き入れてしまうかもしれない。


Copyrights (C) 2008 Websense, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,ウェブセンスの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログWebsense Security Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,Who do you trust with your web traffic?でお読みいただけます。