フィッシング詐欺の日本語版が出てきてからちょっと騒がしくなっている。留学生をたくさん抱える大学にとっては英語版だけが流通してた時代からかなり頭が痛い問題だったのだが、ここへきて問題は爆発した感がある。政府もちょっと最近本腰気味になってきてくれたのは、もちろん被害が出始めたことがあるだろうけど、中央に近いところに本当にセキュリティに強い人がウロウロしはじめてくれたからだろう。頑張って欲しい。私もできることはしてるつもりなんだけど、なかなかうまくいっていない。反省。
ところでYahooのアレは、ひっかかった知り合いがいてしかも彼がそれなりにセキュリティに強い人だったのでちょっと驚いていたのだが、詳しくは調べていなかった。それを高木さんが詳しく解説してくれた。ははぁ、XSS使ってるわけか。こりゃ騙されるわなぁ。世にあまたWebMailerがあるが、全てでこの手の対策をするのはかなり頭が痛い問題だ。もっとも、実害が出るようなWebMailerはある程度のシェアを占めるものだろうから、有名どころから順に潰していけばかなり頑張れるとは思うのだが。
ちなみに最近、Secuniaが、多くのブラウザにおいて別ウィンドウのターゲット名があらかじめわかっていればそれの書き換えは可能であることをセキュリティホールとして報告している。この現象自体はJavaScriptとHTML仕様上の問題ではないかと思うし、対策といわれてもかなり場当たり的にJavaScriptの挙動に手を入れるしかないと思うのだが、改めて考えてみるとこれをフィッシングに使うと・・・・うわぁ・・・コリャ怖い。サイトの設計によってはあんなこともこんなこともできるぞ？また「セキュアなWebアプリ」を作るときに考えるべきことが1つ増えてしまった。