きっかけ
とある公式Twitterアカウントにて、Web Shop のプライバシーエラーを無視するよう案内がされた。
- 証明書が期限切れとなっていたようである。
- 現在は該当ツイートは削除されています。
前提とする条件
(証明書エラーといえば中間者攻撃MITMということで、)
- 公衆Wi-Fiに偽装したアクセスポイントに繋いだ場合を考える。(ARPスプーフィングが行われた場合も同様と思われる)
- DNSスプーフィングで、指定ドメインへの通信にのみproxyを設定できる。(ため、その他のサイトアクセスへの影響はなく、違和感少なく動かせる)
- 証明書エラーを無視する(よう案内がされている)ため、TLS(https)へのMITMが成立する。(一応エラー内容など異なるが、証明書を確認しないような人をターゲットとすればよいため不問)
影響
-
通信が傍受される
パスワードや決済情報などを含む通信内容を盗聴が可能。
-
通信が改竄される
リクエスト・レスポンス改竄による、任意のサイトへの誘導・スクリプト実行などが可能。
(アクセスポイントを用意し)
今回のサイトに適用されるか
このサイトは、対象ドメインでガワを提供し、ログインなど大事なとこは別ドメインで行っている。
「から、まあいいんじゃないの」との意見を見かけた。
ダメであるパターンを二通り
-
利用者が別ドメインの証明書エラーも無視する。
利用者からすると、この「サイト」を利用している際の証明書エラーを無視するよう案内されている。
そのため、ログインページへ遷移した際に再び証明書エラーが表示された場合も無視すると考えられる。
こうなればそのドメインへのMTIMも成立する。 -
ログインページへの遷移を罠サイトに置き換える。
レスポンス改竄が容易なため、ログインページを模した別のページに遷移させることができる。利用者がログイン情報を送信すればそれを取得できる。
最後に
利用者としては、
- 公式からのものであっても、セキュリティ機能を無視させるような案内を容易に信頼しないようにしましょう。
- 信頼できるアクセスポイントに繋ぎましょう。
他のシナリオなど思いつく人教えてください。