セキュリティベンダーの米ウェブセンスは2008年2月26日、インターネット上の「公開プロキシー(匿名プロキシー、匿名串)」の利用に関して注意を呼びかけた。悪質な公開プロキシーを利用すると、通信を盗聴されて、パスワードなどを盗まれる恐れがあるという。
企業や組織の多くでは、フィルタリングソフトなどを使って、業務とは無関係なサイトへのアクセスを禁止している。そこでユーザーの一部は、公開プロキシーを利用して、フィルタリングソフトなどを回避するという。
公開プロキシーとは、インターネットで公開されていて、誰でも利用できるプロキシーサーバーのこと。ユーザーは、フィルタリングの対象となっていない公開プロキシーを経由して、本来は禁止されているWebサイト(Webサービス)にアクセスする。
利用可能な公開プロキシーをリストアップしたWebサイトは多数存在し、検索サイトを使えば、簡単に見つけられるという。ただし、そういったサイトに掲載されている公開プロキシーの中には、攻撃者が運営しているものがあるので要注意というのが今回の警告だ。悪質な公開プロキシーは、ユーザーが送信する個人情報などを盗む目的で運営されているという。
公開プロキシーを使った盗聴が容易であることを示すため、同社スタッフはプロキシーサーバーを構築し、デモを行った(図1)。例として、このプロキシーを経由して、SNSの一つである「MySpace」にアクセスし、ユーザーIDとパスワードを入力してログインした。すると、プロキシー側では、入力されたユーザーIDとパスワードを簡単に取得できたという(図2)。
実際、公開プロキシーを運営する攻撃者は、このような盗聴を行っている可能性が高い。ウェブセンスでは、フィルタリングを回避するために公開プロキシーを使うことは、自分が所属する企業/組織に危険をもたらす可能性があるとして警告している。