So-net トップ 光ファイバー・ADSL案内
So-net セキュリティパソコンのウイルス対策など、安心・安全の情報

セキュリティ通信トップ> 生活に及ぶ危険 オンラインバンキング編:クッキー
生活に及ぶ危険
オンラインバンキング編
前に訪れたWebサイトを再訪し、「こんにちは○○さん!」と迎えられて驚くことがあります。クッキーの仕業です。便利なことも多いのですが、危険性も低くはありません。クッキーの仕組みを知って、しっかりとした安全対策をとりましょう。

1.クッキーとは?  :なぜ私だとわかるの?
2.クッキーの仕組み :ブラウザとWebサイトのやりとり
3.クッキーの中身  :「名前とその値」「有効期限」「適用範囲」
4.クッキーの危険性 :クッキーを盗み取る悪意の手法
5.クッキーの安全対策:危険を回避する3つの原則
1.クッキーとは?
● 「なぜ私だとわかるの?」と驚くケース
ネットサーフィンをしていて、以前訪ねたことがあるWebサイトで「こんにちは○○さん」とか「○○回目のご訪問ありがとうございます」などと表示されたことはありませんか。また、ショッピングサイトやオークションサイトで、自分のユーザーアカウントを入力しなくても自動的に表示されていたことがあるのではないでしょうか。

しかし、そのWebサイトを閲覧したことのない別のパソコン(例えば、ネットカフェや会社のマシンなど)で同じWebサイトを見ても、自分がいつも入力しているアカウントなどを表示してくれるわけではありません。

● HTTPにはできないワザがクッキーで可能に
Webアクセスの基本的な仕組みであるHTTPは、アクセスを1度きりの単位として扱います。ショッピングサイトのような複数ページにまたがるアクセスはすべて違うものとみなされてしまうため、一度認証を受けたユーザーが同じWebサイト(サーバ)の別のページにアクセスしても、そのアクセスが同じユーザーからのものなのかWebサイト側では知ることができないのです。

ですから、前項で見たような、ユーザーごとにWebページの表示を変えたり、ショッピングサイトで個人のユーザーアカウントを自動的に表示させるといった、複数のWebアクセスを関連づけて管理することはできません。

そこで、この弱点を補うために開発されたのがクッキー(Cookie)です。このクッキーの正体は、Webページにアクセスするときにやり取りされる、小さなテキストデータです。
2.クッキーの仕組み
● クッキーの仕組み
Webサイトにアクセスしページを表示させる際に、ブラウザとWebサイトの間でWebページのデータをやり取りしますが、同時にクッキーもやり取りしています。まず、このクッキーの仕組みについて見てみましょう。
(1) ユーザーが初めてWebサイトAを訪問したとき
☆ ブラウザ: Webページを表示するとき、そのWebサイトからクッキーを受け取る。
受け取ったクッキーをパソコン内に保持しておく。

<クッキーが保持される場所:Windows XPの場合>  
C:\Documents and Settings\(ユーザー名)\Cookiesフォルダ
(2) ユーザーが再び同じWebサイトAを訪問したとき
☆ ブラウザ: 保持していたクッキーをそのWebサイトに送り返す。
☆ Webサイト: そのクッキーを参照することで、前と同じユーザーであることを確認する。

このようなクッキーのやり取りで、あなたが再訪したWebサイトは、「こんにちは○○さん」「○○回目のご訪問ありがとうございます」などという表示が可能になるわけです。

 
3.クッキーの中身
やり取りするクッキーの中身はどうなっているのでしょうか。Webサイト(サーバ)がブラウザに発行するクッキーには、「名前とその値」、「有効期限」、「適用範囲」が記述されています。
 
● 「名前とその値」:クッキー本体の情報
Webサイト側からクッキーを送信するとき、この情報だけは必ず送る必要があります。

Webサーバは、ブラウザから送り返されてくるクッキーの名前と値を見て、クッキーの種類や同一ユーザーかどうかといった区別を行っています。

● 「有効期限」:クッキー本体の付加情報
有効期限を指定する場合と、指定しない場合があります。

有効期限が指定されているクッキー:ブラウザはその期限が来るまでそのクッキーを保存し使用します。

有効期限を指定されていないクッキー:ブラウザはクッキーを受け取ってもパソコンに保存せず、メモリーに保持します。このクッキーは、ブラウザが終了すると共に消えることになります。いわば、その場限りのクッキーで、「セッションクッキー」とも呼ばれています。セッションクッキーは、ショッピングサイトなどでよく利用されます。

● 「適用範囲」:クッキー本体の付加情報
保存されていたクッキーをブラウザが送り返す先、つまりWebサイト(サーバ)のことを指します。送り先を、ドメイン名とパス名から判断します。

ブラウザは、Webサイトを訪れたとき、この「適用範囲」情報を使って次のような働きをします。

(1)発行元と違うWebサイトにクッキーを送らないようにする
Webサイトにアクセスすると、そこのドメイン名と、保存してあるクッキーの「適用範囲」を比べ、一致した場合にのみクッキーを送り返す
 
  (2) 不正なWebサイトへクッキーを送信してしまう危険性を回避する
アクセスしているWebサイトからクッキーを受け取ると、そのWebサイトのドメイン名と、受け取ったクッキー中のドメイン名を比べ、一致しない場合は受け取ったクッキーを無視する

このようにして、Webサイトとブラウザのデータのやり取りの安全が守られているわけです。しかし、不注意なサーバを利用して、クッキーを盗み取る悪意の手法があります。

4.クッキーの危険性
● クッキーを盗み取る悪意の手法
これは、通信途中にクッキーを横取りする、「クロスサイトスクリプティング」という手法です。

この方法では、横取りしたクッキーをサーバーに提示することで、本来のユーザーになりすまして、そのユーザーのクレジットカードや個人情報などを盗み取ることができてしまうのです。

このような危険を避けるためにも、金融サイトやショッピングサイトなどでは、必要な作業が終了したら、手動でログオフするようにしましょう。
● クッキーの情報内容はサーバ次第
クッキーはWebサイトのサーバが作成・発行し、ブラウザは受け取ったクッキーの内容に合わせて動作するだけです。クッキーにどのような情報を入れるかは発行するサーバ次第です。クッキーに個人情報を入れてやりとりすることもでき、悪意を持ったサイトが怪しいクッキーを作成することも可能です。

5.クッキーの安全対策
● ユーザーにできる「クッキーの拒否設定」
私たちユーザーができることは、それぞれのWebサイトごとに、そこのクッキーを使うかどうかを判断することです。おかしい、怪しいと思ったサイトのクッキーは使わないようにする、というのが基本姿勢といえるでしょう。

今や、クッキーに関して、すべてを受け付けないというわけにはいきません。クッキーを受け取る機会は多く、日常的に便利な側面も多いといえます。その一例が、冒頭で挙げたオークションサイトなどでの効用です。

日頃訪れるWebサイトのクッキーを把握し、それ以外は削除してしまう方法もあります。  たとえば、Internet Explorer 6から、クッキーの拒否設定を簡単に行うことができるようになっています。クッキーの受け入れを許可するWebサイト、許可しないWebサイトを振り分けて、不要なクッキーは削除してしまうのです。

● 危険を回避する3つの原則
クロスサイトスクリプティングの危険から身を守るためにも、次の3つに気をつけましょう。

(1) 重大な情報を扱うサイトでは、クッキーの有効期限がセッション限りであることを確認する。
  (2) 上記のようなサイトにログイン中は、決して他のサイトを見に行かない。
  (3) 上記のようなサイトでは、サービス利用後に「ログオフ」したり、すべてのブラウザを閉じる。

クッキー自体は便利な機能を提供してくれるものです。しかし、ユーザーのあずかり知らないところで、情報のやり取りが行われている可能性があること、クッキーを利用したユーザーの追跡や情報収集が行われていることは、知っておいた方がいいでしょう。

パソコンに及ぶ危険
メール編
Web閲覧編
P2Pツール編
ケータイのウイルス対策
Windows SP2のセキュリティ機能
生活に及ぶ危険
オンラインショップ編
ネットオークション編
掲示板・チャット編
オンラインバンキング編
架空請求
知って安心のセキュリティ情報
安全なパスワードとは?
無線LANの安全な使い方
フィッシング詐欺に注意!
IDとパスワードのセキュリティ
インターネットの基礎知識
加害者にならないために
親子で学ぶセキュリティ
ネット関連法制度の解説
用語集
●あなたのPCは大丈夫?
  無料でウイルス検診>>
●自動更新にすれば安心。
  Windows Update>>
●被害を防ぐ基礎の基礎
  アプリケーションの安全設定>>
セキュリティ通信TOP
    So-netは安心のプロバイダーです。
Copyright 2007 So-net Entertainment Corporation