英国のテレビライセンス機関は、HTTPS 経由で送信されていないトランザクションページを実行しているとして非難された後、「予防措置として」自社の Web サイトをオフラインにした。
公的資金で運営されているこの組織は、暗号化されていないリンクを介して機密データを送信するようユーザーに促しているとして批判を受けていました。「まもなくウェブサイト全体をHTTPSに移行する」と宣言してからわずか数時間後、同社は次のように発表しました。
テレビライセンスのウェブサイトに問題が発生しており、できるだけ早くウェブサイトを復旧します。
— TVライセンス (@tvlicensing) 2018年9月5日
テレビの税務当局はウェブサイトの安全なバージョンを維持しているが、HTTP ブランチも実行しており、重要なことに、機密の個人情報を含むフォームを処理する場合でも HTTPS にリダイレクトされないという問題があった。
安全ではありません!英国のテレビライセンスウェブサイトに対するGoogleの警告
Google Chromeは7月下旬に変更を加え、ウェブサイトのHTTPバージョンを「安全ではありません」と明確に表示するようになりました。HTTPS化を推進する動きがあるにもかかわらず、当局はデータが暗号化されずにやり取りされるウェブサイトを支持しており、検索エンジンの検索結果でHTTPバージョンが上位に表示されるよう尽力しています。
昨日、テレビ受信契約申請のステップ1である、サイトを通じて氏名とメールアドレスを入力するフォームが安全ではありませんでした。自宅住所を入力するフォームも同様でした。さらに悪いことに、9月5日(水)の時点では、口座振替を設定するための銀行口座情報を入力するフォームも安全ではありませんでした。
「名前、住所、メールアドレス、銀行口座情報まで、全てHTTPで繋がっているんだ」と、情報セキュリティコンサルタントのスコット・ヘルム氏はTwitterでため息をついた。「カード決済はHTTPSで行われているが、それは外部プロバイダーだからだ」
技術者のマーク・クック氏はTwitterでtvlicensing.co.ukにこの件を知らせました。彼は安全でない接続プロセスのスクリーンショットを送信し、その後、懸念事項についてブログに投稿しました。
何度か促された後、TVライセンス部門はクック氏に問題ないと伝え、Chromeからの警告は無視するようアドバイスした。「当社のウェブサイトは安全で、セキュリティ証明書も最新です。お客様がデータを入力するページはHTTPSです。一部のブラウザ(Chromeなど)ではHTTPSではないというメッセージが表示されますが、非HTTPSページも安全にご利用いただけます。」
TV Licensing はEl Regに対し、消費者を暗号化されていない取引ページに誘導したのは誤りであり、修正中であると語った。
テレビかそうでないか、それが問題だ
クック氏はブログで次のように述べている。「最も一般的な誤解は、安全なHTTPS接続は、決済処理など機密性の高いページにのみ必要だということです。英国国立サイバーセキュリティセンターは、たとえプライベートコンテンツ、サインインページ、クレジットカード情報が含まれていなくても、すべてのウェブサイトでHTTPSを使用すべきだと勧告しています。」
暗号化されていないサイトを運営すると、ハッカーが中間者攻撃などによりトラフィックを盗聴したり、ページにコードを挿入したりできる可能性があります。
TV Licensingには安全なウェブサイトのバージョンがある。「ただ、httpの後に『s』を手動で入力する必要があるのですが、これは当然ながら不便です」とクック氏は述べた。「TV Licensingのウェブサイトでは、canonicalタグを使用することで、検索エンジンに対し、安全なバージョンではなく安全でないバージョンを使用するよう明確に指示しています。」
Cook 氏の懸念は、TV Licensing が奇妙な検索エンジンの設定を削除し、すべての HTTP リクエストを HTTPS にリダイレクトする数行のコードを追加することで解決できる可能性があります。
TV Licensingのカスタマーサポートは水曜日、クック氏への返答直後に「ウェブサイト全体をまもなくHTTPSに移行する」と発表し、クック氏らの主張を認めました。しかし、わずか数時間後、サイトはオフラインとなり、エラーページはHTTPSになっているものの、未だ復旧していません。
クック氏は、「tvlicensingがウェブサイトのセキュリティ強化に取り組んでいることを大変嬉しく思います。私の投稿は、tvlicensing.co.ukがTwitterでウェブサイトは安全だと公式に回答した後に書かれました。…(これは)当時、tvlicensingが何の対策も講じない姿勢を示唆していました。一時的な不具合だったと聞いて安心しましたが、具体的にいつまで続くのか、そしてtvlicensing.co.ukが影響を受ける可能性のある顧客数をどの程度と推定しているのかが分かれば、より安心できるでしょう。」と述べました。
情報セキュリティコンサルタントのポール・ムーア氏は次のようにコメントしています。「このような無能さには言葉もありませんが、少なくともこの結果、あらゆるところで HTTPS への移行が進んでいます。」®
ブートノート
昨年末、TVライセンスのウェブサイトへの接続が信頼できないと懸念を表明した読者のPaul R氏とWilliam B氏に感謝申し上げます。彼らの憤りは、Firefoxで表示されるTVライセンス更新メールに関する警告に起因していました。Google Chromeの警告とCook氏のブログ投稿によって、長年くすぶっていた問題が一気に明るみに出たようです。
