研究ブログ

研究ブログ >> Article details

2015/12/02

論文紹介『Improving SSL Warnings: Comprehension and Adherence』

Tweet ThisSend to Facebook | by akirakanaoka



論文紹介の前に

このエントリは「ヒューマンコンピュータインタラクション論文紹介 Advent Calendar 2015」の2日目のものです。Advent Calendarに参戦するのは初めてでよくわかりませんが、前日の湯村さんのエントリを参考にシコシコ書いてみます。

紹介するのはACM CHI 2015でFeltさんたちによって発表された"Improving SSL Warnings: Comprehension and Adherence"です。 Adrienne Porter Feltさんが筆頭著者で、そのほかにGoogleの方とUniversity of Pennsylvaniaの方による共著です。(共著者も大物ぞろいですが)

Adrienne Porter Felt

数年前まではAndroidのセキュリティ、特にPermissionに関する研究を多くされてきましたが、2012年を境にブラウザの研究にシフトしています。そのころにUCBからGoogleに移っているので、移ってからの研究ということなのでしょう。
http://www.adrienneporterfelt.com/

論文紹介


概要

ブラウザのSSL/TLSに関する警告は、利用者に適切に届いているとはまだ言えません。その警告をどうやって変えていくか。”Comprehension”と”Adherence”を達成することを目的として、現状の警告を「わかりやすい文章」「色使いを変えてみよう」というアプローチで変更し、その効果を測る実験を行いと、そして実際にChromeに搭載されたよ、というお話です。

ChromeのSSL/TLSに関する表示画面

現在のChrome46では、SSL/TLSが用いられていないときのアドレスバーの表示は以下の通りです。


SSL/TLSのサーバ証明書が適切に使われているときは、以下のように表示されます。

緑色をした錠前のアイコンと"https"の文字が見えます。

SSL/TLSのサーバ証明書には、さらにランクが高い(?)EV証明書があります。その証明書の場合、以下のように表示されます。


で、この論文で問題としている(いた)のは、サーバ証明書に問題があるときの警告画面です。Chrome46では冒頭に張り付けた画像のように表示されます。アドレスバーに赤い斜線がつくだけでなく、コンテンツ部分についても警告のアイコンと文言が出て接続先のコンテンツそのものは閲覧できないようになっています。
この画面はすでにこの論文で提案された手法が盛り込まれたものとなっています。Chrome36までは別の表示でした。同じようにコンテンツの閲覧は抑えるのですが、その画面は黄色がメインで、文言もより難しいものでした。

Feltらはここにメスを入れます。開発者がどのように利用者を行動させるべきかを考えたときに、彼らは「Comprehension(理解)」と「忠実さ(Adherence)」の2つが重要であると考えました。利用者はSSL/TLSの警告が出たらリスク・脅威を把握し、誤報(False Positive)の可能性があることを理解し、そしてその後の行動を決定するという「Comprehension」を持つ。またSSL/TLSの警告が出たらその先へは進まないという保守的な態度をとることに従う「Adherence」がある。しかしこれまでの他の研究から、いずれかあるいは双方とも満たしてこなかったということが示されてきました。

Feltさんたちの考えた手法はまず「Comprehension」の確立のためにより単純で簡潔そして非技術的で特化したメッセージが書かれるものにしようというものでした。そして「Adherence」の確立のために、利用者の次の行動への導線を明確にするようにしました。。文章の読みやすさの指標として、SMOGインデックスによる評価を用いた評価があります。3音節以上の単語数とセンテンス数から求められる数値で、その数値は米国の学年制度を基準としています。つまりSMOGインデックスが7の場合、日本で言う中学1年生が理解できるレベルであることを示しています。SSL/TLSのサーバ証明書に対する警告ページの最初の文章についてSMOGインデックスで評価したところ、Chrome 36では11.0だったものを提案手法(つまりChrome 37)では6.6に減少させました。そこには専門用語を使わない工夫を凝らしました。例えば証明書(Certificate)やオペレーティングシステム(Operating System)、セキュリティ認証情報(Security Credentials)などの専門性の高い用語は利用しないようにし、また文の量もシンプルなものにしました。変更前後の文章を和文・英文ともに見てみると、その違いがよくわかります。単純・簡潔にするだけでなく、パスワードやクレジットカードなど利用者が直観的にリスクを理解しやすいキーワードを利用していることもわかります。

変更前(和文):このサイトのセキュリティ証明書は信頼できません。***にアクセスしようとしましたが、サーバーから提示された証明書の発行元は、お使いのパソコンのオペレーティングシステムで信頼されていない発行元です。サーバーで独自に生成されたセキュリティ認証情報が、Chromeで認証情報として使用できないものであるか、悪意のあるユーザーが通信を傍受しようとしている可能性があります。先に進まないでください。このサイトについて今回初めてこの警告メッセージが表示された場合は特に注意が必要です。

変更前(英文):The site's security certificate is not trusted! Yor attempted to reach ***, but the server presented a certificate issued by an entity that is not trusted by your computer's operating system. This may mean that the server has generated its own security credentials, which Chrome cannot rely on for identity information, or an attacker may be trying to intercept your communications. You should not proceed, especially if you have never seen this warning before for this site.

変更後(和文):この接続ではプライバシーが保護されません。攻撃者が***上のあなたの情報(パスワード、メッセージ、クレジットカード情報など)を不正に取得しようとしている可能性があります。

変更後(英文):Your connection is not private. Attackers might be trying to steal your information from *** (for example, passwords, messages, or credit cards).

文章だけでなく、色についても変えました。他の文献や塔で、警告には赤色が向いているということが示されていますが、Chrome 37では赤色は警告画面上のアイコンだけにしました。それ以前では、文章部分では白色が使われていますが周辺の色を黄色にしていました。理由が2つあります。1つは、強く赤色を出すことは、他の脅威であるフィッシングサイトとマルウェアを含むサイトの警告画面で利用されていて、それらの脅威のほうがSSL/TLSの警告よりも強いと判断していることから、同じにすることを避けたというものです。もう1つは、ANSIでは赤色に次ぐ色としてオレンジ色・黄色を推奨していますが、オレンジは赤に色味が近く、また双方とも白・黒といった文字色とのコントラストが十分に得られないことなどから使用しないこととしました。

これらの変更について、ユーザ実験でその効果を試しました。比較対象はChrome36(適用前)、Chrome37(適用後)、IE11、Firefox31、Safari7です。その結果、残念ながら「Comprehension」についてはこれまでの表示との有効な差はあまりみることができませんでした。一方で、Adherenceについては高い効果を出すことが示されました。まだまだ戦いは続きそうです。ただ、文言が簡単になったのはChromeだけで、現時点でIEやFirefoxはまだChromeと比較して難しい文章が並んでいます。このあたりも今後変わっていくのか、注目してもよさそうです。

関連データなど


論文はGoogleのページで公開されています。
またFeltさんによる関連する話(ほぼ同じ?)の講演資料が公開されています。おそらくその資料を使ったのであろう別の場所での講演動画もあがっています。いやー便利な時代ですね。

16:02 | Impressed! | Voted(1) | Comment(0)