4コマ「こうしす!@ IT支線」第9列車の振り返り
今回の漫画はこちら↓
今回は特に難しいテーマでした。
筆者の身近で起きた災害に関するタイムリーな話題でした。そして、公衆無線LANアクセスポイントのセキュリティリスクに留意しましょう、けれども絶対に使用するなというわけではありません、という盛りだくさんのことを解説しなければならない超ハードモードの回でした。
というわけで、今回は結構がんばって原作と解説を執筆しました。
裏設定
今回、想定読者層に対してあまりにも専門的な内容になりすぎると考え、割愛した部分がありました。裏設定として補足したいと思います。
悪意のあるアクセスポイントでは、攻撃者がsslstripを用いて中間者攻撃を行うことが想定されます。sslstripはhttpsで通信しないように仕向ける仕組みの攻撃ツールです。暗号化されていないページを改ざんし、ページ内のリンクURLをhttpsからhttpに置換することで、暗号化されていない通信をするようユーザーを誘導します。(今回の4コマの解説で「誘導」と書いたのはこのことを意味しています)
基本的にはサーバー側でHSTS(HTTP Strict Transport Security)の設定を適切することにより、この攻撃は防止できるはずです。
しかし、ログインページなど一部だけHTTPSを使用するようなWebアプリケーションでは攻撃の余地が残ります。HTTPS未使用のページを改ざんし、ログインページへのリンクを書き換えてしまえば、偽のログインページに誘導できてしまうからです。
(今回の4コマで「http:// fake.~」というURLが表示されているのは、そういった攻撃手法を想定したものです)
詳しくは以下の文献が参考になります。
瀬戸崎 喬、松尾 和人:HSTSによる対策を回避可能なsslstrip攻撃
https://www.sci.kanagawa-u.ac.jp/info/matsuo/pub/pdf/IPSJCSS2016107.pdf
次回に向けて
後から冷静に読み返してみると、色んな事を書きすぎて結局何を言いたいのか分からない感じも否めません。身近な話題だけに、正直、力みすぎた感じもあります。
もっと簡潔で分かりやすく表現するスキルを磨かなければなりませんね。
まだまだです。