SSLを使ったフォームをフレームで隠した例

東急電鉄に対する質問、意見等の窓口である東急お客さまセンター(www.tokyu.co.jp) は、電話やFAXのほかにウェブ上のフォームから送信することもできるのですが、「ご利用上の注意」を見るとこんな注意書きが。

ご質問・ご意見フォームは、SSL(Secure Socket Layer)暗号化通信により保護されております。

「おお、それなら安心だ」などと騙されてはいけません。フレームに対応したブラウザで入力画面に進むと、アドレス欄に表示されるURLは http://www.tokyu.co.jp/ で始まるものになっています。

新規ご質問・ご意見作成画面

URLが https:// で始まっていませんね。「なんだ、暗号化されてないじゃないか」と思うのですが、このコンテンツはインラインフレームを利用して別途フォーム部分を埋め込んでいる造りになっています。フレームを外してアクセスすると、URLは https://ssl.okweb3.jp/ で始まるものになります。

  • 例えばWindows版Firefoxだと、埋め込み部分を右クリックして「このフレーム」→「このフレームだけを表示」を選択します。
フレームを外した新規ご質問・ご意見作成画面

確かに暗号化プロトコルが使われています。が、これでは暗号化の意味がありません。その理由については、私が書くよりも高木浩光氏の分かりやすい記述があるので(古い文章ですが)、引用します。

SSLを使う(https:// のページを使う)目的は何かというと、盗聴の防止と、改竄の防止と、なりすましの防止だ。盗聴防止のことはよく知られているが、改竄防止はあまり知られていないらしい。改竄といっても、サーバに侵入してコンテンツを書き換えるいわゆる「ウェブサイト改竄」のことではなく、サーバとブラウザ間の通信路上でのパケットの改竄のことだ。外枠のURLが「http://」ならば、それは通信路上で改竄されている可能性がある。

「お客さまに安心してご利用いただく」とは(d.hatena.ne.jp)

さらに、そのhttpsのコンテンツですが、ドメイン(ssl.okweb3.jp)を見れば分かるとおり東急電鉄のサイトではなさそうです。運営者を確認するために、証明書を表示させてみます。

ssl.okweb3.jp のサーバー証明書

運営者の組織名(O)が「OKWave Inc.」となっていますね。どうやら、株式会社オウケイウェイヴ(www.okwave.co.jp) が運営しているサービスのようです。

東急電鉄の個人情報保護方針(www.tokyu.co.jp) を見ると、

当社がお客様の個人情報を利用するにあたっては、正当な利用の範囲内で個人情報を第三者に委託することがございます。委託先へは個人情報を厳重に管理することを義務付け監督いたします。

とあるので、外部サービスを利用すること自体は良しとしても、次のような問題が挙げられます。

  • 外部サイトを使っていることについて、何の説明も書かれていない。
  • フレームを使っていることにより、実際にフォームが設置してあるコンテンツのURLや証明書の確認が(通常の閲覧方法では)できない。
  • フレームを使用しており、さらに「共用SSLかつ入力画面の遷移元がHTTP」なので、SSLの使用をアピールする意味がない

3番目の理由について、これも高木氏の文章を引用しておきます。

(a) http://example.com/ から「共用SSL」サイト上に設置された入力フォームにリンクしている場合、SSLによる通信の暗号化の安全性は達成されない。なぜなら、http://foo.example.com/ にアクセスした時点で、リンク先が改竄されている可能性があるので、ジャンプした先が https:// のページであることを確認しても、偽サイト、あるいは偽ページ*6の可能性がある。

(中略)

*6 仮に、入力者が「共用SSL」サイトのドメイン名を知っていたとして、ドメイン名を確認したとしても、同じサイト上の別人が作った入力フォームにアクセスさせられる可能性があり、見分けがつかない。

EV SSLを緑色だというだけで信用してはいけない実例(takagi-hiromitsu.jp)

例えば、悪意ある者がオウケイウェイヴと契約して「ssl.okweb3.jp」の証明書が使える状態になった後、「東急お客さまセンター」にアクセスした者(利用者)に対し、通信内容を改ざんして自分の(ssl.okweb3.jp内の)サイトへ来るように仕向けたとします。利用者としては、仮にフレームを外して証明書を確認したところで普段通りなのですから、疑うことなく個人情報を送信してしまう可能性がありますね。

  • もっとも、「だから危険だ、使ってはいけない」などと一概に言うつもりはありません。このサービスはインターネットバンキングなどとはレベルが異なり、単なる質問や意見の送信のみと思われますし、個人情報についても名前やメールアドレスの入力は必須なようですが、匿名や架空のものがダメとは書かれていません。送信内容にさほど重要性がなければ「盗み見られたり、正規の送信先へ届かなかったりしても構わない」という前提で利用するのはアリかと思います。