先週「e+」という大手チケット販売サイトがログイン設定を全員設定しなおしてくれというメールを出した。手元にも届いており週末再確認することにしていたが、今週TL上で話題になっていた。TLを辿ると、どうやらログインサイトがhttpのままだったことで
フィッシングサイトではないかと話題に。
eplusから来ている「ログインID設定のお願い」メール、「フィッシングじゃねーのw」的な話題もTLで見かけましたが、実際に問題があるので、案内されているURLからログインするのは危険ですね。
— 富永冴樹 (@SaekiTominaga) April 10, 2017
大抵のブラウザでは警告が出ますが、入力画面が暗号化されていません。 pic.twitter.com/d4bzU79LwF
どうやら現行では機能によりhttpとhttpsがログイン時混じっているらしいが、確認したところ今回はhttpしか使えないとTL上でも報告があり、私も確認した。また案内ページ自体がhttpとなっている。
産業技術総合研究所情報セキュリティ研究センターにて主任研究員である高木浩光氏がe+に確認したところ、問題ないとの返答があったらしい。
イープラスの言い分は、客は逐一この画面を出してこのハイライト部分を目視確認せよ、ということのようで(もちろんそこだけ見ても駄目)。https://t.co/U6yJ81860V
— Hiromitsu Takagi (@HiromitsuTakagi) April 11, 2017
「httpsへは、Javascriptでaction書き換えしてるのかで対応されてるから問題ない」 pic.twitter.com/ezhX2U16N8
しかしhttpのままでは通信が途中で改ざんされていれば、偽サイトと区別はつかない。そのため各ブラウザではhttpでの通信時のログインを警告する仕様となっているのだ。
HTTPS接続の意義は通信の暗号化だけではなく、接続先がURL通りであることを保証します。図の左は「line.me」でアクセスしたLINEの公式サイトですが、右は偽サイトです。非HTTPS接続は、細工されると正しいURLで偽サイトに誘導されてしまうかもしれません。 pic.twitter.com/Pv9IjphC4j
— Naomi Suzuki (@NaomiSuzuki_) March 9, 2017
2005年にはすでに「SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよい」という記事が前述の高木浩光氏より書かれ話題となった。
高木浩光@自宅の日記 - SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも, クレジットカード業界は最もWebセキュリテ..
それから12年、すでに各ブラウザはhttpであることで警告表示をするようになっている。Chromeの場合「保護されていません」の部分をクリックすると「機密情報を入力しないでください」と書かれている。
この状態で「問題ありません」と言い切れるご時世ではないことをeplusは認識したほうがよいのではないか。(系列サービスにセゾンカードがあるのだが・・・)
ただ騒ぎになっていたからか、本日4/13 23:00確認したところhttpsが使えるようになっていた。自分でhttpsと打てば利用可能。
これですこしは緩和されたが、大多数の方のためにも、お知らせページもhttpsに直してもらいたいところ。またメールから直接リンクしている方のためにhttpsにリダイレクトまでしていただければと思う。