オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場 306
ストーリー by nabeshin
サイトも話題も釣ってください 部門より
サイトも話題も釣ってください 部門より
Anonymous Coward曰く、
フィッシング詐欺が騒がれるようになって久しいですが、11/17の高木浩光@自宅の日記によると、2つの実在する日本の地方銀行が、「アクセス時に表示される警告メッセージについて」という解説を出しているそうです(武蔵野銀行のもの、北越銀行のもの)。解説の内容は、
というものですが、その警告メッセージというのは、IE7なら「詐欺や・・・情報を盗み取る意図が示唆されている場合があります」というもの。それに対して銀行が次のように解説するという、なんだか凄まじいことになっています。本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心して・・・をご利用ください。スラッシュドットでも一昨年に、NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」 と、無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」というストーリーがありましたが、まさか銀行がこんなことをするようになるとは・・・世も末です。高木さんは2つの銀行に電話したそうで、「とりあえずまずこの誤った説明文を即刻削除するべき」と伝えたそうですが、今も両方とも消えていないようです。以下の画面(ページ)が表示されましたら、「このサイトの閲覧を続行する(推奨されません)」を選択(クリック)してください。
IE7.0で本サイトにアクセスされますと、アドレスバーの背景色が赤くなり、「認証エラー」と表示されますが、これは、SSLサーバ証明書をサイトURLベースドメイン(https://www.cns-jp.com/)で取得しているためです。サイト自体はSSL128bitによる暗号化通信を行っておりますので、セキュリティ上の問題はございません。
対策済みのサイトを「対策済み」と書かずに晒すのは… (スコア:2, 参考になる)
Re:対策済みのサイトを「対策済み」と書かずに晒すのは… (スコア:5, 興味深い)
23日の「追記」分まで読まれました?
> あの書き方だと、問題が今も発生し続けている印象を与えかねません。
読んだ上で、今現在どの様な問題があるのか、あるいは、無いのか、
誤った印象を持つとしたら、それは読者の誤読であり、
読者以外の責任では無いと思います。
私は、一度誤った説明をした以上は、(社会的な責任として、)
説明を「無かったこと」にするのではなく、明確に訂正するべきだと思います。
> 大学側から損害賠償請求されてもおかしくないのではないでしょうか。
まだ「事実関係の見解の相違」と言う段階にも至っていないので、おかしいです。
仮に今後その様な請求が行われるとしても、
言い掛かり訴訟は珍しいものでもなく、身構えても仕方ありません。
また、現時点でその様な言い掛かりに及んでいないのに失礼な話ではないでしょうか。
Re:対策済みのサイトを「対策済み」と書かずに晒すのは… (スコア:4, 興味深い)
対策はとられていないようですが?
この問題の場合「対策」というのは、過去の告知で「問題ありません」としていた説明は間違いだったと訂正して、正しいことを学生に教えて初めて解決ですからねえ。なにしろ、嘘を教えていたわけだから。無かったことしても解決しないわけで。
どの大学もまだそれをやっていませんね。まあ永遠にやらないだろうと思いますけど。
Re:対策済みのサイトを「対策済み」と書かずに晒すのは… (スコア:1)
これはもうね (スコア:2, 参考になる)
金融庁設置法(平成十年法律第百三十号)
http://www.fsa.go.jp/common/about/settihou/01.pdf [fsa.go.jp]
# .bk.jpとか作ってそれの使用を強制してもいいんじゃないかな、とも思う。
金融庁のお達し (スコア:3, 参考になる)
一般人におけるSSLの意味 (スコア:1, すばらしい洞察)
発行元が証明されているとか、中身が改竄されてないことを証明するってところは
あまり知られてないということ。
あまり知られてない理由に「重要なファクタについての啓蒙をしてこなかった」というのはあるけどね。
それをできるのは知ってる我々の役目でもあるということも肝に銘じておかねば。
Re:一般人におけるSSLの意味 (スコア:4, すばらしい洞察)
こういうのって、サイト(というかその裏のシステム)を構築したベンダーが
助言するべきじゃないかと思う。
その助言が「いや、問題ないっスよ。気にすんなって書いて良いっス」だったら
目も当てられないけど・・・。
--- (´-`)。oO(平和な日常は私を鈍くする) ---
Re:一般人におけるSSLの意味 (スコア:4, 興味深い)
昔々、業務で開発しているプログラムの意味が分からんので解説して欲しいと相談されたことがあったけれど、そこで読んだソースコードはフォームのhiddenパラメーターをいじれば管理者特権が得られるという阿呆な設計だった。しかも、そのアホソースが入ったプログラムは全国に導入を検討している所があったみたい。開発でコピーアンドペーストが当たり前に行われていたようなので、この脆弱性って相談者の会社が作った他のプログラムにもあったんだろうなぁ。
まあ、Ken's USA-Japan あっとらんだむ [cnet.com]じゃないですが、所詮日本ではソフトウェアはハードウェアのおまけ的な位置ですからね。ソフトハウスはコンピュータサイエンスをまともに学んだ学生が行く場所にはなってないんですよね。
Re:一般人におけるSSLの意味 (スコア:3, 興味深い)
システムを提案するインテグレータ業者は理解して無いでしょうね。
銀行がコストをケチって故意にオレオレ証明書にしているのではなく、
単に、充分な説明を受けてないからオレオレ証明書になっているのだと思う。
インテグレータ業者が銀行に対し説明しないのは、理解してないからでしょう。
風通しって大切ですよね。
# Web屋やってた時にオレオレ証明書について嘘を書かされた記憶があるのでAC
Re:一般人におけるSSLの意味 (スコア:1, すばらしい洞察)
危険な操作を案内しているとしたら、
無知よりなお救われない気がしますが。
Re:一般人におけるSSLの意味 (スコア:3, 興味深い)
っていう記事を見つけたんだけど、記事によると、武蔵野銀行の顧客が自分のPCにPhishWallなる
ソフトを入れるとブラウザのツールバーに緑色の信号が表示され一目で安全であることが証明されるそうな。
武蔵野銀行は自分ところがフィッシング対策をきちんとやってると勘違いしてるんだろうなあ。
なんか悪いベンダーとつきあってるんだと思う。
フィッシング対策ソフト (スコア:3, 参考になる)
高木氏は、PhishWallなどのフィッシング対策ソフトの問題点も指摘 [takagi-hiromitsu.jp]されてます。
要約すると、
・金融庁の監督指針に、「フィッシング詐欺対策については、利用者がアクセスしているサイトが真正なサイトであることの証明を確認できるような措置を講じる」ことが示された。これを受けて多くの金融機関がフィッシング対策システムを導入した。
・適切なSSL証明書を導入するよりはるかに高額なフィッシング対策システムを導入した地方銀行のほとんどが、適切な証明書を使わずに(オレオレ証明書に日立やNTTのを使ってる所が多いようです。)対策システムを入れたことで満足してしまっいてる。
・フィッシング対策ソフトを入れてネットバンクを利用した場合、顧客のブラウザには緑シグナルが点灯して取引の安全性が証明されるはずであるが、いくつかの金融機関では緑シグナルが点灯しない。にもかかわらずそのままの運用が続けられていて、誰も気にしていない。
というものです。
金融庁が、これこれのベンダーのシステムを使ってさえいれば監査が通るよ、という見解を出していて、ほとんどの金融機関はフィッシング対策のことをまじめに考えずに監査のことだけ考えてるんだろうなあ。
Re:一般人におけるSSLの意味 (スコア:3, 参考になる)
自分では善いことをしているつもりの無知の方がずっと救われない、
と親鸞上人はおっしゃいました。
Re:一般人におけるSSLの意味 (スコア:1, すばらしい洞察)
> 通信路が暗号化されている、くらいの認識しかないってことだね。
通信路も正しく暗号化されていないというのが正しい理解です。
> 発行元が証明されているとか、中身が改竄されてないことを証明するってところは
> あまり知られてないということ。
そういう話ではありません。
Re:一般人におけるSSLの意味 (スコア:3, 参考になる)
金融機関がそれでいいのかってのは別の話で。
エラーが出ても問題ないという説明を提示するのは嘘なのでやめていただきたいところ。利用者がアクセス予定のリソースを鑑みて、信用できないサイトであるかもしれないというリスクがあっても問題ない人だけがOKを押すように説明するべきだ。
たとえば趣味の日記サイトとかが本当にSSL証明書で発信者を識別でき、改竄を検知でき、通信を暗号化できる必要があるのかって言われれば、それが本当に必要な日記サイトというのは稀であるでしょうしね。普通に暇つぶしで日記サイトにアクセスするときにその内容が本物かどうか確認できなかったとしても大して困らないことの方が多いだろう。
まぁ、それでいいならそもそもSSL入れる必要ないんじゃね?って話なわけだが・・。
商売をするならオレオレじゃないほうがいいよね。自分のところに振り込まれるはずだったお金が、どっか違う知らない人のところに振り込まれるというような事象が許容できるなら自宅鯖SSLでもかまわないと思うけれども。
あと、商売であるならば買う人にとっては自宅鯖かどうかは関係ないよね。注文を申し込むのはWeb上のサイトに対してであってサーバに対してじゃないし、Webサイトを見て注文をする時に、そこが零細か個人事業主か大企業かは利用者には関係ない。
USBメモリとかで証明書を直接配るとかしてるならそれはアリなんだけれども。
◆IZUMI162i6 [mailto]
Re:一般人におけるSSLの意味 (スコア:2, 参考になる)
Internet Explorerの利用者が多い中ではありではないです。
IE7やVistaはまだ未確認ですが、IE6とXPの組み合わせではサイト証明書としてインポートできず
ルート証明書としてインポートするしかなく危険です。
PKIよくある勘違い(8)「自分専用なのに第三者から証明書を買えというのはおかしい」 [takagi-hiromitsu.jp]
などを理解して正しく対処できるユーザばかりのグループなどではありかもしれません。
単なる臆病者の Anonymous Cat です。略してACです。
Re:一般人におけるSSLの意味 (スコア:2, すばらしい洞察)
あらら (スコア:1, 参考になる)
Re:あらら (スコア:3, 参考になる)
言われ続けるんだろうなぁ。
実はスラドでネタになるならないに関わらず、いつも表示エラーになるんですか、
これはさくらインターネットのレンタルサーバーの仕様で、一度負荷が高い瞬間があると
一定期間は503のエラーが出るようになるということらしいです。
……ということを毎回説明するのも骨だよね。
高木センセのサイトにそのことを明記しておいてもらえると分かりやすいと
思うけども。
Re:あらら (スコア:2, おもしろおかしい)
Re:あらら (スコア:2, 参考になる)
こういう時はエラーの際に表示するページを自作してそこに書けば……
いや、503エラーについては自作できないんですよね。
別のサイトにリダイレクトすることはできるんで、そこに書いておくとか
すればいいかもだけど。
っ さくらのレンタルサーバ非公式FAQ .htaccess:エラーページを自作したい [sakuratan.com]
Re:世が世なら (スコア:3, すばらしい洞察)
薄い机上の正論を述べてるんじゃなくて、自分の守備範囲を決めて
きっちり行動してるんだから立派だと思う。
# Java初心者の頃はmlにずいぶん助けられたなぁ・・・
Re:世が世なら (スコア:5, 興味深い)
「だれもそんな攻撃しねーよ、ひろみちゅ考えすぎ」
と思っていたものが、時がたってみると実際に悪用されるようなったものもかなりあります。
彼はたしかににこうるさいツンデレのセキュリティ専門家かもしれませんが、
その先見の明については相当なものだと思います。
Re:世が世なら (スコア:4, おもしろおかしい)
いつデレるのですか?
Re:世が世なら (スコア:2, 興味深い)
ウハ、三井住友銀行の素晴らしいセキュリティ教室 [takagi-hiromitsu.jp]
Re:で結局安全なの? (スコア:5, 参考になる)
偽のDNS情報を送られた場合、本物サイトと区別つきません。
現在接続してるサイト(ホスト)が本当に正しい場所なのかどうか証明するのが、証明書の役割となります。
例えば、C:\Windows\system32\drivers\etc\hosts ファイルに、
127.0.0.1 cns-jp.com
と書かれていた場合、アドレスバーにはcns-jp.comと出ているのに、実体は別のサーバ(この場合はlocalhost)を見てることになります。
無論、hostsファイルの書き換え以外にも、DNSサーバ自体をすり替える、DNSサーバをクラックして偽情報を送らせるなどしても同じです。
(無線LANのアクセスポイントにただ乗りしたら釣り堀だった、という可能性もありますよ。)
Re:で結局安全なの? (スコア:5, すばらしい洞察)
この場合に限って言えば,ブラウザが出す警告が
「ドメイン名と証明書が一致していない」のみであり,
証明書を表示してGTE CyberTrustをRoot証明書として署名された
正規の証明書であることを確認すれば,一応は安全です。
しかし,ブラウザが出すSSLの警告について,
・ドメイン名と証明書が一致していない
・正規の認証局で署名された証明書ではない
の区別を一般人に要求するのは無理であり,本当にやばい状況である
後者についても「このサイトででる警告は無視してOK」と続行されたら,
危険極まりないことになります。
ましてや利用している人が「SSLの警告は無視してもいいんだ」という
誤った知識を情報を学習し,他の状況でもSSL警告を無視するようになると,
SSLが保障しようとしている安全性が根幹から崩れてしまいます。
Re:で結局安全なの? (スコア:2, 参考になる)
だから、証明書を表示して署名者が正しいか確認するだけじゃなくて、加えて、その発行先ホスト名がどこなのかまで確認して初めて「一応は安全です」と言えます。
Re:で結局安全なの? (スコア:2, 参考になる)
そうなんだけど、それも少し違う。「発行先ホスト名がどこなのかまで確認」することが容易じゃない。そういうブラウザもあるという指摘が高木氏の最新エントリー [takagi-hiromitsu.jp]で解説されてる。Firefox だと SubjectAltName に書かれたホスト名まで見ないといけないそうだ。
しかも、高木氏は書いてないけど、ネタ元 [toedtmann.net]の指摘にあるように、ワイルドカードで指定されていると詐称できる範囲が任意になってしまうという別の問題もあるらしい。つまり、Common Name に *.jp とか書いてある証明書を受け入れちゃうと、任意の .jp サイトを詐称されてしまうという話。あー、いや、その場合は正規の認証局は発行しないんだろうけど。
で、Firefox 3 なら大丈夫だけど、「発行先ホスト名がどこなのかまで確認」すれば安全な、そういうブラウザはあるかもしれないけど、標準規格があるわけじゃないから頼っちゃ駄目、ってのが高木氏の主張ですね。
Re:そもそも (スコア:4, 参考になる)
必須です。
そのようなものはありません。
TLS-PSK (RFC 4279) というのがありますが、Webへの適用例は今のところありません。なぜなら、RFC 4279 に次の通り書かれているように、一般の公衆向けのサービスで利用できるものではないからです。
Re:そもそも (スコア:3, 参考になる)
でも 「暗号化」の為に「証明書」は必須なの? という問であれば 必須ではないですよ。
OpenSSL の実装でも、暗号化スイートとして例えば ADH-AES256-SHA を選択すれば証明書なしで暗号化されます。
この暗号化スイートは手元のマシンにおいて実際に Postfix によるSMTP接続においてはそこそこ利用されている状況にあります。
Re:そもそも (スコア:1)
前段の 暗号化に証明書必須か? に対しては 必須ではない
後段の それで解決するか に対しては 解決しない(安全じゃないから)
というのが私の考えでした。が、後段の分を書かなかったのはそれはそれで誤解を生みますね。すみません。
でまあ誤解が広まる源泉は「暗号化されていれば安全である という誤解」だと思っているわけですよ。
少なくともオレオレ証明書を入れて銀行に納入してしまうような業者に向かって、
「暗号化できているからといってそれだけで安全ではない」という意識を啓蒙するべきではないかと。
可能なら業者は安全は何をもって担保されているのかを理解して欲しいところです。
一般に向かっての啓蒙については 高木先生の方策に同意しています。
Re:そもそも (スコア:4, すばらしい洞察)
Re:そもそも (スコア:3, すばらしい洞察)
それは本末転倒。今回の話は暗号通信の有無ではなくphishingに対して無力になるのが問題なんだし。
Re:そもそも (スコア:1)
Re:そもそも (スコア:2, すばらしい洞察)
いくら「暗号化」したところで、
利用者-[暗号通信]-フィッシングサイト だったり
利用者-[暗号通信1]-盗聴者・改竄者-[暗号通信2]-本物サイト では意味が無いという考えの元、
・通信が暗号化され
・利用者と本物のサイトが「直接」暗号通信している
ことを担保するための証明書です。
よくある誤解ですが、正しい証明書を利用していてもなお、それだけでは「安全」とはいえません。
通信先の URL や証明書記載の組織名を確認して、自分の意図した相手のサイトであることを、
くれぐれも 正しい証明書を持ったフィッシングサイト [srad.jp]などではないことをよく確認の上利用しましょう。
Re:そもそも (スコア:2, 参考になる)
> 「暗号化」は盗聴防止の為の技術 -- それは○。
> 「証明書」の目的は接続先の証明 -- ×。
> 「証明書」の目的は接続先の証明と、中間者攻撃も防止した暗号化通信、の両方なの。
勝手に補足すると
・大きな目的は「盗聴を防止したい」
・盗聴を防止するためには 「相手が正しくて(間に誰も入っていなくて)」『かつ』「途中で覗かれない」ことが必要
・つまり盗聴を防止するために 前者には証明書が必要で かつ 後者には暗号が必要 (他にも手段はあるけどSSLではこの2つを使っている)
で
オレオレ証明書でも暗号化はされてるんでしょ → 暗号化はされていますが 前者が保証されていないので 『盗聴防止になりません』
という回答で十分なはずなんだけど…暗号化されていれば盗聴されないにちがいないというイメージがまかり通っている
結局「暗号化」という言葉がすごく強い(そして間違った)意味でとらえられてしまっているのが問題ではないだろうか
Re:利用しなきゃいいだけでは (スコア:5, すばらしい洞察)
業界ゴロではなく、正しく声を上げるという点でも評価できます。これを認証局が言えばカドが立つでしょうし。
Re:利用しなきゃいいだけでは (スコア:4, すばらしい洞察)
東京や大阪は複数の都市銀行があるから、イヤなら他を選べばいい。
しかし、地方では「事実上、そこの地銀以外ATMが存在しない」コトが多々あるわけで。
そーなると全く選択の余地がない=完全な公共インフラとして存在しているコトになります。
その状況で「フィッシングし放題・オレオレ証明書完備」というのは、大変危険だと思いますが。
Re:ひとつわかったこと (スコア:1, おもしろおかしい)
ここは /. ですぜ、旦那
Re:ひとつわかったこと (スコア:1)
例えばカレントが"/home/slashdot"だった場合を考えてみてください.
#以下の例は誤解を避けるために,親コメントの手順を逆にしました.
$ cd ./
$ pwd
/home/slashdot
$ cd /.
$ pwd
/
どうでも良いけどね…
kero
Re:まちがってない (スコア:1)
証明書って、今見ているページが、本当に「本サイト」かどうかを証明するためのものですから、「本サイト」にアクセスしていれば、通信も暗号化されてますし。
ただし、真の「本サイト」か、それとも偽「本サイト」(釣られた)かどうかは、超能力で見極めるしかないですが。
・・・という言葉遊びの場ではないですね。。。
Re:まちがってない (スコア:2, すばらしい洞察)
むしろ、みんながこういう反応するのが正しい姿なんですけどね。
「銀行のサイトで、SSL証明書エラー
しかも、件のページには 証明書エラーでも先に進めと書いてある」
なんて状態なら、なりすまされてるか、中間者攻撃でも食らっているという判断するべき。
次からのタレこみは、
「○○のサイトでSSL証明書エラーを無視するように解説してる」ではなく、
「○○のサイトを名乗るフィッシングサイトが現れる」 で。
Re:まちがってない (スコア:1)
# さかな!
Re:まちがってない (スコア:1)
Re:で、お薦めの認証局は? (スコア:1)
個人使用でかつCAcertが信用できてCAcertのroot証明も受け入れられるってんなら使ってもいいでしょう。
Re:コスト計算 (スコア:1)
間男になりたいのか (スコア:1, おもしろおかしい)
Re:とりあえず・・・・ (スコア:1)