水無月ばけらのえび日記

公衆無線LANによる通信傍受、改竄のリスク

更新: 2011年12月13日23時35分頃

ものすごい話が出ていますよ……「公衆無線LANのConnectFree、利用するとTwitter IDとFacebookをMACアドレスと紐づけられ、いつどこでどのサイトを閲覧したか収集されるらしい (togetter.com)」。

以前から言われていた攻撃手法として、以下のようなものがありました。

• 悪意ある攻撃者が、無線LANのアクセスポイントを公開する
• SSIDを公衆無線LANサービスと思われるようなものにしておく
• 誰かがそのアクセスポイントにアクセスすると、攻撃者は通信内容を自由に傍受・改竄して攻撃できる

そして「野良無線LAN危ないから気をつけて」「HTTPSを使おう」という話になるわけですが、今回は、こういう攻撃が実際に、しかも公衆無線LAN提供会社によって組織的に行われていたという話ですね。おそらく当人には「攻撃」という意識はないと思いますが、内容を見ると立派に傍受と改竄を成功させていますし、脅威にもなっています。これは攻撃と言われても仕方ないでしょう。

改竄の内容は以下のようなものだそうで。

• Webページの上部にツールバーのようなものが出現するようにスクリプト等を埋め込み
• Google Analyticsのタグ埋め込み
• Amazonのアフィリエイトが埋め込まれていたら、そのアフィリエイトIDを改竄 (HTMLを直接改竄しているわけではなく、改竄するようなスクリプトを埋め込み)

どれも問題ですが、あえて最も悪質なものを挙げるとすれば、アフィリエイト報酬の奪取でしょう。ConnectFreeを使ってこのサイトにアクセスした人がいて、その人がアフィリエイトリンクを経由してAmazonで何かを買っていた場合、私に支払われるはずの報酬がConnectFreeの運営会社に奪われていたことになります。実際に金銭被害が発生している可能性がありますし、電子計算機使用詐欺罪にあたる可能性も考えられるのではないでしょうか。

※実際問題、私が被害を受けている可能性もあるのですが、どうしたものでしょうかね……。

※2011-12-13追記: 以下の部分は私の誤解によるもののようで、撤回します。

それとは別に、スクリプトには利用者のMACアドレス、FacebookアカウントのID、TwitterのIDなどが埋め込まれていたという話があります。これはサイト側から読めるようになっていたので、ConnectFree経由でサイトにアクセスすると、サイト側にTwitterIDなどを読み取られてしまう危険があるという。

記録するだけならスクリプトに入れる必要がないはずなので、入っていた理由が良く分かりませんが、はっきり言って脆弱性でしょうね。全体的に問題がありすぎるので、届け出て修正してもらうとかそういう話ではありませんが。

※2011-12-13追記: と、ここまでの部分は私の誤解だったようです。高木さんからはてなブックマークでコメントいただきました (ご指摘ありがとうございます): 「むむ、ここは事実誤認 →「スクリプトには利用者の…FacebookアカウントのID、TwitterのIDなどが埋め込まれていたという話…」← 正しくは、TwitterやFacebookサイトを訪れたときにIDを取得して送信するようになっていたもの。」

まあ、そもそも怪しげな無線LANアクセスポイントを利用すると危険だという話があるわけですが、こういう話を見ると、素性がある程度しっかりしていても安心できない感じがします。

対策としては、HTTPSを使えばOKではあるのですが……。サイト側はフォームに限らず、あらゆるコンテンツをHTTPSでアクセスできるようにした方が良いのかも知れないなぁ、などと思ったりする次第です。

• 「公衆無線LANによる通信傍受、改竄のリスク」へのコメント (1件)

関連する話題: Web / セキュリティ