初めまして!
今週から月曜日のブログ担当となりました「ほんだ」と申します。
プログラミング未経験で入社し、半年過ぎたばかりの新参者ですが、
ブログのネタ探しと同時に色々勉強できればと思っております。
普段の業務ではPHP(とHTMLやCSS)を扱っています!
さてさて本日のブログは、今話題のネット冤罪関連のお話です。
ニュースなどでは「誰でもネット犯罪に巻き込まれるかもしれない!」と報道されていますね。
私自身も、この業界に入らなければ詳しい仕組みなど分からないままでしたので、
何かお役に立てればと取り上げてみます!
事件の経緯は、
掲示板に貼られたリンクにアクセスしたところ、
掲示板に犯罪予告が書き込まれてしまい、
結果、犯罪予告をしたとして誤認逮捕されてしまったということらしいです。
実に誰にでもありえる状況ですね。
これは、リンク先に「アクセスしただけで書き込みをするようなプログラム」があったために、
自分の意図しない、しかも自分のIPが残る形で犯罪がなされてしまったというわけです。
とても恐ろしいですね…。
開発側としては、このような事態を避けるためにCSRF対策という対策方略をとることが求められます。
(CSRF:クロスサイトリクエストフォージェリ)
参考URL:http://e-words.jp/w/CSRF.html
参考URL:http://www.ipa.go.jp/security/vuln/vuln_contents/csrf.html
例えば、アクセスするたびに更新されるランダムな文字列を隠しておき、
投稿と同時にチェックをする(ワンタイムトークン)という方法があります。
掲示板で投稿フォームと一緒に
「画像に書かれた文字列」を読み取って打ち込んでくださいという項目を置くのもよくある手法ですね。
↑こんな感じのもっと歪んでいる画像です。
このように掲示板や問い合わせフォームなど、誰もが入力できるシステムでは、
自動投稿を認めない対策を講じる必要があります。
過去にも対策をとらなかったために話題となったものがありまして、
mixiのはまちちゃん(参考:http://www.atmarkit.co.jp/fsecurity/column/ueno/33.html)が有名ですが、
twitterでも同様の仕組みのセキュリティホールが見つかったことがあるようです。
ユーザとしてできる対策は、
むやみやたらにログイン状態を保持しない、とか
むやみやたらにリンク先にアクセスしない、とか
リンク先をチェックしてくれるツールを使う
(参考:http://www.itmedia.co.jp/enterprise/articles/0803/04/news092.html)などが挙げられるかと思います。
ユーザとしては面倒ですが、このような地道な対策が一番効果的なようです。
リンク先にアクセスしただけで逮捕されるかもしれないとは恐ろしいものですが、
開発側としては、そういった新しい落とし穴を回避するべく
日々新しい情報を得て勉強しなければ…と思うのでした。
それでは(^^)ノシ