全2635文字
Webサービスの多くは、パスワードで正規のユーザーかどうかを確認する。このためユーザーとして気になるのは、Webサービスを提供するWebサイトのパスワード管理だ。
パスワードを入力するログインページは安全なのか、インターネット経由でパスワードを送る際に盗聴される恐れはないのか、Webサイトはパスワードを安全に保管しているのか――などが懸念される。
「一昔前ならいざ知らず、いまどきのWebサイトならそんな心配は無用」と思う人は多いだろう。実際、有名サイトのほとんどはパスワードを安全に取り扱っている。
だが、いまだに危険なWebサイトは多数存在する。米ジョージア工科大学の研究者グループは100万件のWebサイトを調査し、現状を明らかにした。これまでにない大規模な調査だとしており、結果は2023年10月に一般に公表された。
調査期間は2022年12月から2023年1月で、研究者グループは調査結果を2023年8月に米国で開催された学術会議で発表。そのプロシーディング(会議録)が2023年10月に発行された。会議録に収められた研究者グループの論文を基に、Webサイトの危険な現状を解き明かそう。
機械学習で調査の自動化を実現
これまでもWebサイトのパスワード管理に関する調査は多数実施されてきた。ほとんどのWebサイトはパスワード管理のポリシーを公表していないため、Webサイトに実際にアクセスして調べる必要がある。
できるだけ多くのWebサイトを調査するには自動化が不可欠だ。だが自動化は容易ではないという。Webサイトごとにログインするまでの流れ(ワークフロー)が大きく異なるからだ。
ログインページの構造や置かれている場所、パスワードの入力方法、ユーザーアカウントの登録方法などはWebサイトによってまちまちなので、「WebサイトのトップページのURLを与えれば、自動的にログインページなどにアクセスして情報を収集するツール」の開発はほぼ不可能と思われていたという。
このため先行研究では、手作業による調査に頼っている。研究者が実際にWebサイトにアクセスしてログインページなどを探し、パスワードの管理方法などを調べた。人手なので、数千から数万が限界だ。インターネットに存在するWebサイトの数と比較すればごく僅かなので、調査結果が偏っている可能性が高いとしている。
今回の調査では機械学習を用いたツールを開発し、対象を2桁から3桁増やすことに成功した。具体的な方法は次の通り。まずWebサイトのドメイン(トップページのURL)を収めたデータベース「Tranco list」から2800のドメインをランダムに抽出。
そしてそれらに人手でアクセスし、ログインページや登録ページ(サインアップページ)、パスワードリセットページの特徴(トップページからのアクセス方法やページの構造、含まれるキーワードなど)を抽出。それらをラベル付けして機械学習モデルを構築し、インターネットを巡回するツール(クローラー)に適用した。
このツールは調査対象のドメイン名を与えられると、そのWebサイトのトップページにアクセスし、アカウントの登録ページを検索。登録ページを見つけたら、特定のメールアドレスとパスワードを入力してアカウントを作成する。
次にログインページにアクセスし、作成したアカウントにメールアドレス(ユーザーID)とパスワードを入力してログインを試行。最後にパスワードリセットページにアクセスして、リセットを試みる。
調査では、米Google(グーグル)の「Chromeユーザー・エクスペリエンス・リポート(CrUX)」に収録された、アクセス数が上位100万のWebサイトにアクセスした。
からの記事と詳細 ( 100万件の大規模Webサイト調査で見えた、ずさんで危険なパスワード管理の実態 - ITpro )
https://ift.tt/VhYa2xe
No comments:
Post a Comment