2006.2.2初版
インターネットって、頭隠して尻隠さず 身元を隠したい場合もあるが・・ 匿名プロキシの危険 〜
匿名 Proxy は使わない!!
さきのページでは「身元を隠したい・・・」という主旨のことでその内容をぼかして書いたが、
ここでは具体的に書くことにする。
インターネットをやっている人の中で『プロキシ( Proxy )』を通してネットを見られている人もいる。
ここで注意しなければならないのがこのプロキシを間違って理解していることがあり注意を促したい。
インターネットの仕組み上、
頭を隠したつもりでも、尻は隠れてはいない。
さらに、いろんな情報が採取されてどこかに流出しているかもしれないという、
極めて危険で重要な問題があることを、再確認していただきたいと
「警告」の意味を込めてこのページを書くことにした。
「Firewall と森であそぼう」さんの「Proxy(代理サーバ)とは 」というページで、プロキシの仕組みから詳細に解説されている。
仕組みがわかればそれに越したことはないが、
それより「その利用について」とわざわざ項目をたてて解説されている項を注意深く読んでほしい。
私なら、「 匿名 Proxy を使うな! 」となる。
「Firewall と森であそぼう」さんは婉曲に「・・・・お勧めしない。」と書かれているが、
これは読み手の不特定多数のことをおもんばかってこう書かれているのだろうと思う。
やはり、本音は「使うな」ということだろうと理解している。
なぜ、そうなのかは丁寧に解説されているので私なんぞが説明するのもおこがましいが、あえて書かせていただことにする。
簡単にいってしまえば、
いくら匿名プロキシを通したって、それなりのツールを使えばホスト名なり、IP アドレスまで分かってしまう。
所詮インターネットの仕組み上尻は隠せないわけだから、「無駄な努力だ」ということをまず先に理解することである。
よくホームページなどで「プロキシを通せばわからない・・・・」みたいなことが書かれているが
あれらは正確ではない。
もちろんサイトによっては別のIPを表示させて「してやったり!」という場面もあるかもしれない。
しかし、それは表面的なことであって、
そこのサイトの管理者はプロキシの先まで調べているかもしれず、前述したように実際に調べられる。
もちろんサイトの管理者のレベルもさまざまなので、
そんなことをしないサイトかもしれないし、調べ方が分からないかもしれず、
表面的には、一時的には成功したように見えるかもしれない。
しかしそこのサーバマシンの中のログにはキッチリ足跡が記録されているので、
後になって気が変ったりレベルが上がったりして調べ直すかもしれない。
これこそ「アタマ隠してシリ隠さず」だ。
ある程度素性がわかっているサイトのページを見に行って、
そこでホスト名やらIPアドレスが知られることよりも、
どこの馬の骨だかわからないサイトの匿名プロキシを通すことの方がどれだけ危険だか知れない。
もしも、いつも同じ匿名プロキシを使ってインターネットをやっていれば
そこのマシンにはどっさり情報が貯まっていて「どんな傾向のページをみているとか」がぜ〜ぶわかってしまう。
さらにキーボードからメールアドレスとか名前とかをいれることがあったらそれらも抜かれている可能があり
こんなに危険なことは他にない。
もちろん100%素性が分かっているサイトがあって、
絶対に裏切らないそんな管理者がいるサイトであって、
かつ好意で使わせてくれる場合なら、その利用することを否定するものではない。
日経パソコン080327 簡単に盗まれる実験をしている。
悪質な「公開プロキシー」に注意、パスワードなどを盗まれる恐れあり
セキュリティベンダーの米ウェブセンスは2008年2月26日、インターネット上の「公開プロキシー(匿名プロキシー、匿名串)」の利用に関して注意を呼びかけた。悪質な公開プロキシーを利用すると、通信を盗聴されて、パスワードなどを盗まれる恐れがあるという。
企業や組織の多くでは、フィルタリングソフトなどを使って、業務とは無関係なサイトへのアクセスを禁止している。そこでユーザーの一部は、公開プロキシーを利用して、フィルタリングソフトなどを回避するという。
公開プロキシーとは、インターネットで公開されていて、誰でも利用できるプロキシーサーバーのこと。ユーザーは、フィルタリングの対象となっていない公開プロキシーを経由して、本来は禁止されているWebサイト(Webサービス)にアクセスする。
利用可能な公開プロキシーをリストアップしたWebサイトは多数存在し、検索サイトを使えば、簡単に見つけられるという。ただし、そういったサイトに掲載されている公開プロキシーの中には、攻撃者が運営しているものがあるので要注意というのが今回の警告だ。悪質な公開プロキシーは、ユーザーが送信する個人情報などを盗む目的で運営されているという。
公開プロキシーを使った盗聴が容易であることを示すため、同社スタッフはプロキシーサーバーを構築し、デモを行った(図1)。例として、このプロキシーを経由して、SNSの一つである「MySpace」にアクセスし、ユーザーIDとパスワードを入力してログインした。すると、プロキシー側では、入力されたユーザーIDとパスワードを簡単に取得できたという(図2)。
実際、公開プロキシーを運営する攻撃者は、このような盗聴を行っている可能性が高い。ウェブセンスでは、フィルタリングを回避するために公開プロキシーを使うことは、自分が所属する企業/組織に危険をもたらす可能性があるとして警告している。
* 米ウェブセンスの情報
(勝村 幸博=日経パソコン) [2008/02/27]
その1 ホームへ その3