シスコのプライベートポリシーのページ周辺のお話し

前振り:JavaScriptなリンクについてあれこれ考察

シスコのウェブサイトの一部のページについてセキュリティー面も含め、あれこれ考えてみようと思います。考える前提として、以下のサイトの参考文献の記事が参考になりますので、まずは、ご紹介をしておきます。お読み頂けると幸いです。

  1. 鳩丸ご意見番 - 残念な思いを致しました(2) - 謎のアンカーには残念な思いを致しました。
  2. (suneo | Pointless In A Sence) - ポップアップウィンドウを考える
  3. Windows XP SP2 のメモ@鳩丸よもやま話#6-1. ポップアップブロック

3番目の文書では、XPSP2のポップアップブロックの設定においてレベルを「高」にすると、target="_blank" でさえも撃墜されて、何も起きなくなります。という指摘の部分が興味深く、また、2番目の文書における、target="_blank"を使った解決方法にある程度の影を投げかけているかもしれないと思い、とりあげました。なんでHTMLのtarget属性までセキュリティー面で制限されなくてはいけないのか腑に落ちない、ということですね。

私としては、JavaScriptを切っていても、HTMLが上手に書けていて、快適にリンク、ナビゲーションを利用できればOKです。また、JavaScriptを利用することでさらに快適になるのであるならば、ことさらにJavaScriptによるナビゲート補助を否定する立場でもありません。ただし、セキュリティー面で問題になるのならば別です。一番最低な例を文献1や文献2に従って例示してみます。

<a href="javascript:openWindow('http://hoge.com/foo.html');">hoge</a>

こういうのは勘弁して欲しいわけです。JavaScriptを切ってある時にはかなりしんどいです。

さらに私見を付け加えるなら、この悪い例が跳梁跋扈するということは、すなわち、ユーザにとって、セキュリティー面で安心できない世の中になっていることの証左だと思うのです。こころあるWebページ製作者ならば、一般ユーザにこのようなアンカーを提供しないで頂きたいと思うのです。(入門用のJavaScript例題としてもあげないでほしいです。)一般ユーザがこのようなものに慣れてしまうことが一番コワイですね。ちょっと理由を述べてみましょう。ブラウザとしてIEを念頭におきます。ユーザはJavaScriptをオンにしているとしましょう。以下のようなソースのページを考えます。さきの参考文献の2番からのパクリです。(yuuさん、すみません。)

<script type="text/javascript">
<!--
function openWindow(strFName) {
 wPopup = window.open(strFName,'wPopup','scrollbars=0,width=240,height=400,menubar=0,resizable=1,directories=0,toolbar=0,status=0,location=0');
 wPopup.focus();
}
// -->
</script>
:
:
<p><a href="javascript:openWindow('http://hoge.com/foo.html');">hoge</a></p>

この例では、hoge.comのサイトのfoo.htmをポップアップウィンドウに表示するものです。で、はたして一般ユーザは、何が表示されるのか予想が出来るのでしょうか?ひょっとしてJavaScriptについてある程度わかっていても、わからなくても、とにかくユーザは、何を見せられるのかがわかるのでしょうか?

IEで試しているものと考えてください。上のアンカーにマウスオーバーしてステータスバーに表示される内容を見るかもしれないですね。きっと次のような表示を見るかもしれません。

javascript:openWindow('http://hoge.com/foo.html');

ユーザは、『ははぁ、どうやら、hoge.comのサイトのfoo.htm を見るんだな、よしよし』と思うのかもしれません。しかしながら私に言わせれば、ユーザには、そのようには思って頂きたくないわけです。むしろ、『なんだこれ危ないなぁ』と思って頂きたいのですね。Webサイトの製作者さんには、こんなアンカーは怪しくて恥ずかしいから作らないで欲しいと、思うのです。常識になると嬉しいのですけれど。ちょっと考えてみましょう。オンマウスオーバーで、ステータスバーに以下のような表示があったとします。

javascript:openWindow('http://hoge.com/foo.html');

で、hogeサイトのfoo.htmlへのナビゲートでもなんでもないようになんて、ちょっと悪意があればすぐに出来ます。それには、上の例のopenWindow関数の中身を尋常でないものにしておけば良いわけです。たとえばこんな感じでしょうか。

<script type="text/javascript">
<!--
function openWindow(strFName) {
 strFName = 'http://waruiyatu.tld/akui.html';
 wPopup = window.open(strFName,'wPopup','scrollbars=0,width=240,height=400,menubar=0,resizable=1,directories=0,toolbar=0,status=0,location=0');
 wPopup.focus();
}
// -->
</script>

openWindow関数で受けているパラメータである、'http://hoge.com/foo.html'を捨ててしまって、'http://waruiyatu.tld/akui.html'に書き換えてしまえば良いわけですよね。ひどく簡単。ユーザは、http://hoge.com/foo.htmlを見るつもりで、http://waruiyatu.tld/akui.htmlを見せられるという結末になります。え?ステータスバーを信じるほうが馬鹿ですって?そんなことはありません。ステータスバーを信頼できないものにしているのはWebサイト製作者さん達だと思われますがいかがでしょうか?

いずれにせよ、上のようなアンカーは本来怪しいのであって、そのようなアンカーを利用すべきではない、とユーザは知って欲しいのです。また、製作者サイドもそのようなアンカーは作らない、という常識を持って欲しいのです。

『おいおい、重箱の隅をつつくなよ、おおげさだなぁ。』とおっしゃる人もいるかもしれませんね。おおげさだなぁと言う人の1人が次のようにおっしゃるかもしれません。

『ステータスバーにはアンカー要素のhref属性の内容を表示しておいてさ、onclickで別なところに飛ばす事だって出来るだろ?JavaScriptの関数をじかに使わなくたって同じことが出来るんだよ。どうしてひとつだけ事例をあげて危ない危ないって言うんだい?』

ユーザは、JavaScriptを切ってWebページを閲覧すれば良いのです。そうすれば、ステータスバーにhref属性が表示され、それをユーザが、信頼できるかどうかについて判断でき、信頼するならば、そのアンカーを利用することが出来ます。(残念ながらIEに関してはJavaScriptオフでもステータスバーのリンク先URL表示を偽装する手法が発表されていますが、本論では考察しません。早く直して欲しい。)

以上までで、JavaScriptなアンカーについて危険性を述べました。

ポップアップウィンドウのあるべき姿とは

サイト製作者さん達にお願いしたいのです。特に個人情報を取り扱うようなサイトでは。ポップアップウィンドウは、URLアドレスバーとステータスバーを非表示にしてはいけません。極悪なものでは、右クリック禁止などでそのウィンドウのプロパティーを見せないようにわざわざしているものもあるようです。最低ですね。そのようなことをしてはいけません。また、ウィンドウのサイズを固定にしないでください。アドレスバーの内容を検証するのに邪魔だからです。え?デザインが不自由ですって?私達が何処の誰に大事なデータを預けるのかを常に明示するようにしないサイトとは、お付き合いしたくない、そのように言っています。デザインよりも重要なことなのです。

個人情報を扱うサイト

前節までで、個人情報を扱うサイトに注意して頂きたいことのいくつかをあげてみました。まだまだあるようですが、今回は見送ります。これで前振り終了です。本当にお話ししたいことの準備が少しだけ整いました。

シスコのサイトで資料請求をしたいと思った

私はシスコの製品に大変にお世話になっていましたし、良い製品をたくさん出していて、私の中では優良企業なのです。信頼しています。そんなシスコが面白そうな資料を提供しているよ、と知人から教わりました。うむ、これは見逃せないなと。そのように思いました。

さっそく教えてもらったサイトを閲覧しました。なかなか良い事が書いてありそうです。たとえば、現在のネットワーク環境におけるセキュリティ対策は、従来型のポイントエンド、シングルポイントのものでは、十分な対応ができなくなってきました。この『セキュリティ AtoZ』では、企業ネットワークを取り巻くさまざまな脅威の実態を整理し、“今、企業にとって本当に必要となるセキュリティ対策”の基礎知識を解説していきます。と書いてあります。うんうん、難しいよねぇと頷きながら、求める資料をページ内で探しました。あ、申し遅れました。私は例によってJavaScriptを切って閲覧しております。その時にはIEでした。私が見たページは以下のものです。

シスコシステムズ-SECURITY-セキュリティ A to Z
http://www.cisco.com/japanese/warp/public/3/jp/event/offer/powernow/security/atoz_index.shtml

このページの主要コンテンツの始めのほうに、『ビジネス編(クイズで実態を把握する)』というものがあります。私は、「ふぅ〜んクイズかぁ、面白いかな?」と思いつつ、その右側の『クイズを見るにはここをクリック』という赤い文字のボタンをクリックしました。

すると、ページが切り替わって、ActiveXがうんたらくんたらで正しく表示されません、とのIEのアラート表示。慣れてます。いつもの通り、何かフラッシュで小細工でもしているのでしょう、そのように思いました。クイズを探してつらつらと本文を読み進めますと、以下のような記述にぶつかりました。

最近のニュースや調査報告書をもとにセキュリティ脅威についての実態をQ&A方式で確認してみましょう。

さて、すべて正解いただけましたでしょうか?

私は目を疑いました。「はぁ???」

どうやら『残念な思いを致しました』という状態になったのだと判断するまでに30秒ほどかかったかと思います。この時点で私はクイズに興味をなくしました。まぁいいでしょう。これくらい。平気平気な気分です。ActiveXでクイズ形式のコンテンツがあったのでしょう。今回の目的は知人から知らされた面白そうな資料なのです。先を急ぎましょう、そのような思いです。

主要コンテンツの「ビジネス編」の次は「技術編」です。ここですよ、求める資料は。統合化セキュリティシステム構築のために必要な技術情報を中心に、全6回連載で解説します。と書いてあります。そうですね、従来型のポイントエンド、シングルポイントのものでは、十分な対応ができなくなってきましたなので、統合化セキュリティシステム構築なのですね。うむ。で、全部で6個のPDFファイルがダウンロードできるボタンがあります。『【第1〜6回】PDF ダウンロードはこちらをClick!』と赤い文字で書いてあるボタンです。そのボタンの下に※ご登録いただく必要があります。と書いてありましたが、たぶん、私のメールアドレスか何かを登録するのかな?と多少思いました。

さっそくクリックしてみました。ページが切り替わったようです。結果。「あのぉ、何も表示されないのですけれど…」真っ白です。どうやら、『残念な思いを致しました』という状態になったのだと、今度はすぐにわかりました。「最低だなぁ」などとは思いません。私は温厚なのです。資料については、まだ読みたかったので、真っ白なページのソース表示をすることにしました。何か手がかりがあるはずです。(言っておきますがこのようにアクセスする人は結構少なくないはずですよ。)あまり期待しませんでしたが、<noscript>を探します。こちらがJavaScriptオフなので、<noscript>に記述してあることが手がかりとなるかもしれません。すると、以下のように書いてあります。

<noscript>
<img src="http://ehg-cisco.hitbox.com/HG?hc=we36&cd=1&hv=6&ce=u&hb=DM53052590ZA96EN3&n=atoz_reg&vcon=/powernow/security/&seg=&cmp=&gp=&fnl=&pec=" border="0" width="1" height="1">
</NOSCRIPT>

ぐはぁ。期待はしていませんでしたが、逆に失望感が。何も記述されていなければ、「あっそう」なのですが。この記述には私の絶望感をもたらすものが…

まず、第一に、JavaScriptを切っている閲覧者に対しての記述を書いておくべき場所に、閲覧者向けの記述がありません。私は、真っ白な画面を見させられて仕方がなくソース表示したのですが、実は「何も表示されていない」のではなく、「縦横1ピクセル?の不可視な画像を見させられていた」ことがわかったのです。かなりツライことですね、これは。

第ニに、この不可視な画像は、人間の為にではなく、機械の為の画像である点に失望しました。何をしたいのか不明ですけれども、おそらく、JavaScriptを切っている(想定外の不心得な)閲覧者が存在した場合には、その記録を取り、あとで統計処理をするつもりなのでしょう。サーバ側と言いますか、サイト側と言いますか、そちらサイドのご都合は満足させているのに、閲覧者への配慮はしていません。なんというか、あんまりなことではないでしょうか。いっそ、<noscript>に何も書いていないほうが気分は良いです。

ちなみに、私はJavaScriptステートメントを読めません。だから、この真っ白表示のページ内にそれ以外にどのような記述がしてあるのか知りません。かなり色んなことが書いてあるはずなのですけれど、はたしてまともなことが書いてあるのかどうか…

仕方がないサイトだなぁ、と冷静に、もう一度、いったいどんな画像だい?と見つめると、とんでもないことがわかりました。ここへきて、私ははじめて怒りを覚え始めました。画像の提供元サーバのドメインが"ehg-cisco.hitbox.com"なのです。シスコではありません。なんだよ、ヒットボックスって。ウェブバグもどきかい!…まぁまぁ、冷静に。要するに信頼できるかどうかは、これだけでは判断できません。だって、hiobox.comがシスコ、あるいはシスコのグループの経営する会社の支配下にあるかもしれませんし。(わかる人は教えてください。)

気を取りなおしましょう。私は、さっきの資料、PDFが見たいのです。思いきって、素直に?JavaScriptをオンにして、最初からやりなおすこととしました。今度は真っ白なページ表示にはなりませんでした。どうやら謎のリダイレクトが発生した模様です。SSLに切り替わったらしいです。私は思い出しました。ボタンの下に、注意書きがありました。※ご登録いただく必要があります。なるほど、何か個人情報を入力するのだな?で、ついたページのURLが以下のようなものです。

https://www.cmarket.jp/cgi-bin/ma2/eu2/eu.cgi?pid=main:DL&button=cs&eid=87&pf=88&pfcom=atoz&thpg=security/atoz_r

私は最初、このURLの異常さに気がつきませんでした。それよりも真っ先に目に付いたことは、表示された画面に、フォームがあって、どうやらメールアドレスを入力するらしいということです。やや首を傾げました。アンケートにご回答いただくにあたって、まずはemailアドレスをご入力ください。と書いてあります。私はいつアンケートに回答することになったのでしょう?このページへのアンカーを利用する時には、確かに、※ご登録いただく必要があります。という注意書きを見ました。メールアドレスぐらいなら捨てアドレスの利用も可能でしょう。しかしながら、アンケートまで要求されるとは思いませんでした。やや首を傾げただけです。

ちょっと周囲を見まわすと、こんな時に肝心な個人情報保護方針へのリンクがすぐにみつかりました。プライバシーステートメント、およびに、クッキーポリシーへのリンクです。

習慣的に、オンマウスオーバーで、リンク先URLの表示を確認しました。すると、駄目駄目な表示が。

javascript:openLargePopup('http://www.cisco.com/japanese/warp/public/3/jp/privacy.shtml','popuplarge');

なぜ駄目なのかは、本日の日記の冒頭でクドクド申し上げたばかりですし、おわかりのことと思います。笑うのは、このページに来る以上、ユーザは、JavaScriptオンのはずなのです。オフなら真っ白画面でとまどうだけですから。したがって、プライバシーステートメントをワンクリックでただちに拝見することが可能です。なるほどなぁ。【何?】

それはともかく、ここにきて初めて私は、今見ているページのURLに注意を払ったのです。なんということでしょう。そのドメインシスコではありませんでした。"www.cmarket.jp"だったのです。なんだそれ?

ええと、まだまだ冷静に。かなり不気味でコワイコワイなのですけれど、おびえてはいけません。どんなに、今見ているページが、フィッシング詐欺とウリふたつでも私のしてきたことはフィッシング詐欺にひっかかるものではないはず。(ええと、ひょっとしたらサーバが乗っ取られていて、コンテンツが書きかえられているかも?ですけれど、それはフィッシングとは言わないよね、たぶん。)とりあえず、他の情報も見ておきましょう。

まず、画面下のリンク、『シスコの商標』をクリックしてみました。なんと、ポップアップウィンドウ登場。だけど、アドレスバーが表示されていませんから〜残念っ!でした。ほかのリンクも同じ。これ、駄目です。皮肉にも、正しくシスコのサイトのコンテンツなのにアドレスバーが表示されていませんが。でも、シスコのコンテンツであることを確認する作業にやや時間をとられました。ユーザに負担をかけてはいけませんね。

この段落のみ、1/24追記です。ワンクリックでプライバシーステートメントを見に行くと、ポップアップウィンドウが開いて内容を見ることができます。しかし、アドレスバーが表示されていませんから、正当なシスコのプライバシーステートメントかどうかをユーザはすぐには判別できません。重大な瑕疵だと思われます。匿名の人からメールにてご指摘頂きました。ありがとうございます。

駄目駄目そうなところは、このぐらいにしておきましょう。

シスコのプライバシーステートメント

やや、お行儀の悪いサイト作りなのですけれども、世間ではよくみかける?ことですし、ここは、やはり、肝心なプライバシーポリシーないし、セキュリティーポリシーなりを見たくなります。やはり、さっきの、シスコではない2つのドメインが気になります。謎の画像のhitobox.comと、謎のメールアドレス登録画面のcmarket.jpとです。これらのドメインのサーバに私の閲覧履歴やら、メールアドレスやら、アンケートやらを教えてやってもいいのかな?シスコは責任持ってくれるんだよね?それなら安心だ、資料請求できるね、とまぁ、こういう具合です。その他にプライバシーポリシーって役に立ちますか?

シスコのプライバシーステートメントのページのURLは以下となります。

Privacy Statement - Japan - Cisco Systems
http://www.cisco.com/japanese/warp/public/3/jp/privacy.shtml

まず注目する点を引用しましょう。強調は私が編集。

三者のサイト

本サイトには、他社が運営するWebサイトへのリンクが含まれていますが、当該サイトはシスコによって運営または維持されているわけではありません。当該サイトの一部にシスコのロゴが掲載されている場合がありますが、その場合も同様です。シスコは、当該サイトとお客様の個人情報を共有することはなく、当該サイトの個人情報の管理について一切責任を負いません。お客様ご自身で、当該サイトを運営する各社のプライバシーポリシーなどをご確認になるようにお勧めします。

ええと、免責条項ということなのでしょうか?シスコ作成の資料をダウンロードする前に、ご登録いただく必要があります。とシスコのサイトのコンテンツで注意され、その注意書きのすぐ上のリンクで閲覧したページでは、登録情報(メールアドレス?)のほかにアンケートまで要求されているのですけれど、どうなのでしょう?で、そのページのドメインはシスコのものではありません。そのページでは、シスコの商標に関するリンクもありますし、シスコのロゴまで掲載されています。他社が運営しているのであっても、免責条項がありますから、シスコとしては私達ユーザの個人情報に関しては一切責任を負わないわけですよね?で、それなのに、(他社のサーバに個人情報を)ご登録いただく必要があります。なのですね?

なんとも駄目な感じになって来ました。

シスコのプライバシーステートメントによれば、個人情報の共同利用には共同して利用する者の範囲: 上記Cisco Systems, Inc.およびその子会社 と書いてあります。

www.cmarket.jpというドメインの持ち主は、whoisで調べると株式会社ユラス"http://www.yuras.co.jp/"という会社らしいです。う〜ん、子会社かどうか調べますか。 http://www.yuras.co.jp/aboutyuras/about_yuras.html を見る限り、ユラスとシスコの関係はただの「取引先」なだけで、資本関係があるようには見えません。何故なら「関連会社」の欄にシスコは入っていないからです。

もうひとつの謎ドメイン、hitobox.comまでは調べていません。おわかりの人、教えてください。

もちろん、これらの2個の謎ドメインのサーバにわたるデータに関してシスコが責任を持つのだとプライバシーステートメントに明記の上、なおかつ、資料請求にあたっては、いったん外部委託先のほげほげなサイトのURLでかくかくしかじかな情報を登録してくださいね、とリンクのすぐ下に明記してあれば、問題はかなり少なくなります。

まとまらないけれどまとめ

シスコのサイトにおけるナビゲーションはかなり反則です。

個人情報や閲覧履歴がどこに行っちゃうかわからない上、プライバシーステートメントで責任は持たないと明記してあります

結局、資料請求はしないことになります。っていうか、そんなサイト構成をしているぐらいなので資料を頂くステップを信頼できません。いえ、大組織ですから、一部が駄目でも、他は大部分、良いものは良いとわかってはいるのです。資料そのものは欲しいです。知らないところに私の入力するアンケートとメールアドレスが行ってしまうことがイヤなだけなのです。

おわび

もしも子会社でしたらすみませんでした。でも、明記してないからわかりませんでした。ごめんなさい。何か間違ってたら教えてください。訂正いたします。>シスコ殿、皆さん。

追記:hitboxについて

コメントにてtamo様からご教示を頂きました。tamo様、ありがとうございます。http://www.websidestory.com/corporate/overview.html によると、Cisco は hitbox.com の customers のひとつに過ぎないようですとのこと、私も見てみましたが確かにそのようです。

hitboxとはなんぞや?ということで、以下のURLなどでぼんやりとわかってきました。"clickstream"を処理しリアルタイムで顧客(Cisco)に情報を返すようですね。高級なアクセス解析にすぎないのかもしれないのですけれども、ページからページへの閲覧履歴などを中心に解析するようです。(サイトをまたがって、という表現もありました。)なお、hitboxはスパイウェアとして使われているとしている情報サイトもありました。スパイウェア駆除ツールであるPestPatrolは自動的に取り除くようです。