PR

Question 6
IPアドレスを相手に知られる危険度

Q あるWebサイトにアクセスしたときに,私のIPアドレスが表示されていました。Webサイトを閲覧しているだけで個人情報が流出してしまうと聞いたこともあり,どの程度の情報が盗まれてしまったのか心配です。どのような対策を採ればよいのでしょうか。

A まず,次の基本原則を理解しておきましょう。Webサイトにアクセスした時,あなたのパソコンのIPアドレスはWebサーバーに知られているということです。なぜならば,あなたのパソコンからWebサーバーあてに送られたリクエスト・パケットにはIPアドレスが含まれているからです。Webサーバーは応答を送信元のIPアドレスに向けて送り返します。WebサーバーがあなたのIPアドレスを知らなければ,Webサーバーはコンテンツ・データを返送することができません。つまり,IPアドレスがWebサーバーに送られなければ,あなたはホームページを見ることができないのです。

図9●IPアドレスを表示するページの例
図10●Webブラウザから漏れる情報
Internet ExplorerでITProの記事内のリンクをクリックして,SecurityFriday.comにジャンプした場合に,www.securityfriday.comあてに送信されたリクエスト・パケットのHTTPヘッダー部分を抜粋した

 質問では,あるホームページにアクセスした時に,あなたのIPアドレスがサイト上に表示されていたということですが,前述の通り,IPアドレスがWebサーバーに知られているのは当然で,個人情報漏洩には当たりません(図9[拡大表示])。IPアドレスが表示されていなかったとしても,Webサーバーのログファイルには,あなたのアドレスが確実に記録されています。これを情報漏洩とは考えない方がよいでしょう。

IPアドレスが漏れると危険?

 書籍やセキュリティ関連Webサイトなどで「IPアドレスを知られると危険なので,プロキシ・サーバーを使ってIPアドレスを隠したほうが良い」というような記事を見かけることがあります。プロキシ・サーバーはWebアクセスを中継するプログラムです。自分のIPアドレスではなく,プロキシ・サーバーのIPアドレスがWebサーバーに送られます。

 特に不正アクセス手段などを解説した,いわゆるアンダーグラウンド系のサイトにプロキシ・サーバーの利用を勧める内容が多く見られます。しかし,これらの情報に惑わされてはいけません。悪いことをする人,しようとする人は,自分が追跡されないようにIPアドレスを隠して不正アクセスを行う必要があります。そして,その手段の一つとして,インターネットにある管理の甘いプロキシ・サーバーの無断利用という方法があるのです。手軽な方法のため,そういったプロキシ・サーバーの情報が交換されています。

 これは,不正を行わない一般ユーザーにとっては,無意味なことですし,他人に迷惑をかける可能性があります。IPアドレスを知られると攻撃を受けるということも全く無いとは言えません。しかし現実には,インターネットにつながっていれば,無差別に攻撃を受けるので,IPアドレスを隠さなかったから攻撃を受けてしまった,ということではありません。実際にウイルス対策ソフトに付属するパーソナル・ファイアウォールを導入するとWebサイトにアクセスしなくても,多数の攻撃パケットが検知されます。このことからも,IPアドレスを知られることと,攻撃の有無が関係のないことだとわかります。

Webアクセスでサーバーに伝わる情報

 Internet Explorer(IE)などのWebブラウザを使って,Webサイトにアクセスする場合,現実にはIPアドレス以外にも,いくつかの情報がWebブラウザからWebサーバーに送信されています。どのような情報が送信されているかを実例を挙げて説明しましょう。

 ここでは,IEでIT Pro(http://itpro.nikkeibp.co.jp/)の記事中のリンクをクリックし,SecurityFridayのWebサイトにアクセスした場合のHTTPリクエスト・ヘッダー,つまりWebブラウザからWebサーバーに送信されているパケットの中身を載せました(図10[拡大表示])。ヘッダーに数行の情報が添付されて送信されているのが分かります。この情報は,ユーザーが入力した情報ではなく,Webブラウザが勝手に送信している情報です。セキュリティ面や情報漏洩の視点で特に注意すべきヘッダーは,RefererとCookieです。

 Cookieの詳細については前述のQuestion3を参照してください。この例ではwww.securityfriday.comにアクセスした際に,アクセス元のアドレスとユニークな番号をサーバーから受け取り,それを記憶し,今回のアクセスでその情報を送信していることが分かります(図10の(1))。

 Refererは,どこのサイトからリンクされてきたか(このページをアクセスする直前にどのページをアクセスしていたか)を表しているヘッダーです。これはWebブラウザによって自動的に添付され,場合によっては個人情報や組織情報が漏洩する場合があります。社外に公開していないページや社内のページなど,他人に知られてはいけないWebサイト上にあるリンクをクリックすると,そのサイトの情報が飛び先のサーバー管理者に知られることになります。

JavaScriptによる情報漏洩

 Webブラウザのリクエスト・ヘッダーの中に含まれる情報以外にも,知らないうちに情報が漏れ出る可能性があります。

 例えば,JavaアプレットやJavaScriptは,WebサイトからダウンロードされパソコンのWebブラウザ上で実行されます。これらのプログラムもパソコン内(Webブラウザ内)の情報を取得することができます。それをサーバーに送信する場合もあります。取得できるデータは,システムに関連する情報などさまざまです。

 ただし,この問題に関しては,それほど神経質になる必要はありません。デフォルト設定で,パソコン内のリソース,個人情報情報へのアクセスにはセキュリティ制限が掛かっているからです。ただし,セキュリティ・ホールを突くJavaアプレットやJava Scriptが実行された場合は危険です。

最新パッチの適用が最大の防御

 Webブラウザは,過去から累積されてきたセキュリティ上の問題をほとんど解決してきています。しかし,新しいセキュリティ・ホールも次々と発見されています。このような状況の中で,一般ユーザーにできる唯一の対策は,最新のバージョンのWebブラウザに確実にアップデートするとともに,これに最新のパッチを当てて使うということだと言えます。また,不正を働く場合の証拠隠しを論じているいわゆるアンダーグラウンド・サイトの情報に惑わされない正しい知識も必要です。

Daiji Sanai
筆者は,ネットワーク・セキュリティ研究チーム「SecurityFriday.com」のリーダー。URLはhttp://www.securityfriday.com/jp/