パスワードを忘れた? アカウント作成
11086 story

NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」 230

ストーリー by GetSet
レビュー時か試験時に気づくでしょ? 部門より

あるAnonymous Coward曰く、"NTT西日本の料金明細サービス「Myビリング」NTT西日本名古屋支店のページなどからリンクされている「料金に関するお問い合わせ」のページで、「個人のお客様」などのリンクをクリックすると、「Webサイトが未知の認証局により認証されています」(Firefoxの場合)との警告が出る。証明書の内容を見てみると、発行対象は「組織: NTTWEST 部門: EigyouSuisin」、発行元は「一般名称: NTTWestEigyouSuisin」となっており、自作ルート証明書で署名したいわゆる「オレオレ証明書」でサービスしているようだ。証明書の発行日が 2005/09/17 となっており、比較的最近作られたらしい。これでは入力する個人情報も盗聴されてしまいかねない。NTT西日本はISMSとBS7799をダブル認証取得しているそうだが、ISMSやBS7799的に、こういう運用はまずいと思われるのだが。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2005年10月23日 12時45分 (#819093)
    SSLサーバー証明書の販売をしている [mediaweb.biz] 会社だって、 こう↓言ってる [mediaweb.biz] んだから、問題ないんだよ。
    「ログイン」をクリックすると左記のような画面が表示されますが、暗号化による接続には問題ありませんのでそのまま「はい」をクリックして次へ進みます。証明書の表示をクリックして、証明書をインストールすれば再表示されなくなります。この証明書は第3者の証明機関によるものではありませんが、暗号化はされていますので問題はありません。
    その道のプロが言うんだから間違いないだろ!
    • by Anonymous Coward on 2005年10月23日 13時03分 (#819099)
      埼玉県教育委員会 [spec.ed.jp] もこう↓仰せですから、間違いないでしょう。
      これは、暗号化のための「埼玉県のセキュリティ証明書」が、お使いのパソコンにインストールされていないために表示されるものです。上記画面のように「この証明書には問題がある」という警告が表示されますが、(snip)

      暗号化自体には全く問題ありませんのでこのまま「はい」でお進みいただいても構いません。
      http://www.kyouiku.spec.ed.jp/contents/opinion_sslsetumei.html

      スラド民がぐたぐたブーたれようが、これからの若い世代の常識はこうして作られるのです。
      親コメント
  • 釣り天国 (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2005年10月23日 13時13分 (#819103)
    面白いサイトを見つけた。

    BIGLOBE 釣り天国 お魚コレクション [biglobe.ne.jp] というページ。

    ログイン画面なのだが、そこにこんな案内が書いてある。

    確認ボタンを押すと「セキュリティの警告」というダイアログが表示されますが、 セキュリティ上は特に問題ありませんので、「はい」を選択してください。
    まさに釣り天国。
  • by Anonymous Coward on 2005年10月23日 11時21分 (#819060)
    この手のシステム構築のとき「証明書取って」と言うと、たいてい「暗号化はされてるから問題ないじゃん」と返されます。なぜ証明書を取った方が良いかを説明してもなかなか納得してもらえません。

    この手の隙をついた攻撃があまり無いから具体例として被害の例も挙げることが出来ないですし、イマイチ良い説得方法が見付かりません。

    ...みなさんどうやって説得してるんですかね?
    • by Anonymous Coward on 2005年10月23日 22時04分 (#819268)
      「ケータイ対応の予定ないっすか? ケータイで通りませんよ」が案外ききます。
      親コメント
    • by wtnabe (16084) on 2005年10月23日 11時57分 (#819074) 日記
      • まともなブラウザか IE でも安全よりの設定
      • 初心者

      を用意して、できるだけ決済権に近い人の目の前でテストすることができれば、警告が表示されたときに戸惑う様を見せることができます。

      というか、たいてい決裁権者は初心者なので、まともなブラウザや IE でも安全な設定で使わせて、警告を見せることができれば「かっこ悪い」と感じると思います。「なんだこの邪魔くさい感じは」と思わせれば少し道が開けるんじゃないでしょうか。

      親コメント
    • by Anonymous Coward on 2005年10月23日 11時54分 (#819070)
      オレオレ証明書の最大の問題点はユーザに悪い習慣を付けさせてしまう事だろ。 警告を無視する習慣が付いてしまったユーザは悪意のある偽サイトにひっかかりやすくなる。 ユーザに.exeをダウンロードさせ実行させるのと似ている。
      親コメント
    • 俺、その道の仕事はしていないが、「SSLの仕様で、初めの公開鍵を渡すところで偽の鍵に書き換えて渡されると偽の鍵を基に暗号化される」と説明すれば良いだけなんじゃ?
      詳しい図解入りの説明書作ったって良いだろうし、解説しているサイトに誘導するのでも良いのでは?
      口で言ってまくし立っても、それをイメージ出来ていない奴がぱっとイメージ出来る訳ないよ。
      言われた方が上司を説得するにしても、資料が無いと説明し難いだろうし。
      親コメント
      • by wtnabe (16084) on 2005年10月23日 18時24分 (#819206) 日記
        それは技術的な話を理解する気のある上司の場合に限られるような気がします。残念ながらそうでない場合も多いです。まぁ、正攻法でダメそうかどうかは現場にいる人間にしか分かりませんし、ひょっとすると「この(例えばベリサインの)シールにはブランド力ありますから、ぜひ。」という方法の方が効果的かもしれません。リスクの説明から入って、事故が起きたときの対策コストの説明が有効かもしれません。

        素人であるユーザーにとってはどういう経緯で証明書が発行されていようが、そんなことはどうでもいいわけですから、そこら辺が現場の腕の見せ所なんでしょう。
        親コメント
        • by Anonymous Coward on 2005年10月23日 21時00分 (#819249)
          ・承認を得なければならない上司が複数階層に何人もいる。
           しかも、その階層図は2ヶ月後にはあてにならなくなる。

          ・上司の技術的バックボーンが異なり、畑違いの言葉で説明をつけたすため
           伝言ゲームでのやりとりをすると、必ず意味合いが変わってしまう。

          ・技術説明ミーティングを開けば良く集まり、よく理解したような手ごたえがある。。
           しかし、必ず後で倍のフォローが必要になる。

          ・技術的説明が必要な人間は必ず同じフロアにいない。
           そういう人間が会議に出たときに限って機材が原因不明のトラブルに遭う。

          ・すべての承認を取り付けたと一息ついた所で
           別部門に対して同じプロセスが必要だと知らされる。
           (振り出しにもどる)

          この条件に当てはまる数が多いほど、そのプロジェクトが
          正月休み等のイベントを台無しにする可能性が高いです。
          気をつけましょう。
          親コメント
  • 実は (スコア:2, 参考になる)

    by uxi (5376) on 2005年10月23日 12時30分 (#819084)
    「オレオレ証明書」ではなく、既に偽サイト捕まされてるって可能性は?
    --
    uxi
  • by Anonymous Coward on 2005年10月23日 10時53分 (#819052)
    >これでは入力する個人情報も盗聴されてしまいかねない。

    自認証局による証明書だって*暗号化には*問題ないんじゃ?

    # 「オレオレ証明書」って初めて聞いたのでAC
    • Re:盗聴される? (スコア:3, 参考になる)

      by Anonymous Coward on 2005年10月23日 11時43分 (#819068)
      クラッカーが「俺がNTT西日本なんだよ、NTT西日本(俺)が言ってるんだから間違い」とか言って勝手に作った証明書&サイトとの区別がつかないし、その状態だと盗聴は可能です。本物のサイトとの中継をすればいいんだから。
      親コメント
      • Re:盗聴される? (スコア:1, 参考になる)

        by Anonymous Coward on 2005年10月23日 13時41分 (#819113)
        > 本物のサイトとの中継をすればいいんだから。

        中継せずに情報を盗む形の悪用もあるよね。盗聴といってしまうと、そういうのが抜け落ちちゃうでしょ。

        今回の問題点は「盗聴」と呼ぶより、「なりすまし」と言った方が誤解を招かないと思う。

        親コメント
        • Re:盗聴される? (スコア:2, 参考になる)

          by YOUPohwa (17275) on 2005年10月23日 19時35分 (#819228) ホームページ 日記
          他の枝でフレームになってますが、おっしゃる通り「なりすまし」の方が誤解が少ないでしょうね。
          # だいたい、安全か否かなんてのは程度の問題であって、
          # 素のHTTP>オレオレ証明書を使ったHTTPS>マトモなHTTPS>通信しない
          # といった風に段階的に危険度が上がっているに過ぎないんだよなぁ。

          そもそも「エンドユーザーがルート証明機関を評価して選択しなければならない(しかも評価のための情報が豊富でない)」というSSLの仕様が一番の問題なんでしょうね。
          # だからといって他にどうすればいいという考えもないけど。
          --
          yp
          親コメント
    • Re:盗聴される? (スコア:2, 参考になる)

      by Anonymous Coward on 2005年10月23日 11時01分 (#819055)
      オレオレ証明書は産総研の高木浩光氏が始めた造語ではないかと。
      オレオレ証明書の問題点は自身が証明書を作成しているので信頼性がない点でしょう。
      暗号化は行われておりますが、証明書に信頼性がないため、このような証明書を信頼する癖をつけてしまうと簡単にフィッシングサイトに騙されます。
      安全のため、NTT西日本とはお付き合いをやめましょう。:-)
      親コメント
      • 違います (スコア:3, 参考になる)

        by Anonymous Coward on 2005年10月23日 12時00分 (#819077)
        ここ [takagi-hiromitsu.jp]にあるように、高木氏がこの問題を取り上げ始めた頃に、オレオレ証明書という言葉を考えた人が高木氏のサイトにトラックバックして、高木氏がそれを気に入ったのが最初。
        親コメント
        • by Anonymous Coward on 2005年10月23日 13時01分 (#819098)
          高木センセが、これは「インスパイヤ」されたものであって、
          私がオリジナリティを付加して発表したものとかいう
          騒動が起きるとか起きないとかいうデジャヴ。

          #んなこたない
          親コメント
    • Re:盗聴される? (スコア:2, すばらしい洞察)

      by kingkoba (8334) on 2005年10月23日 11時08分 (#819057)
      >自認証局による証明書だって*暗号化には*問題ないんじゃ?

      そう認識されちゃうことが問題。
      親コメント
    • Re:盗聴される? (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2005年10月23日 11時12分 (#819058)
      盗聴者までの通信を暗号化できてもうれしくありません。
      ルート認証機関に認証してもらう必要がなければ誰にでも「NTT西日本」と名乗れるわけですから。

      というかリンク先読んでください。
      親コメント
    • Re:盗聴される? (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2005年10月23日 10時56分 (#819053)
      通信路上での盗聴の話ですから、
      通信路上で改竄されたら、盗聴されますよ。
      親コメント
    • by quililila (23086) on 2005年10月23日 11時03分 (#819056) 日記
      > # 「オレオレ証明書」って初めて聞いたのでAC

      こういう場合は俺様認証局っていうことが多いわな。
      親コメント
    • Re:盗聴される? (スコア:1, 参考になる)

      by Anonymous Coward on 2005年10月23日 12時41分 (#819090)
      暗号化するのは、他者に知られたくないからでしょう。
      で、暗号化の時にどのような手段をとるかは、復号できないといけないから、あらかじめ通信相手と決めておく必要がありますよね。

      今回は証明書の信頼性が問題で、誰が通信相手かはっきりわからないことだと思います。
      誰かわからない通信相手=他者の可能性がある時点で、暗号化という言葉の利用は適切でないと思います。
      NTT西日本以外に知られたくない情報を、別の他者とやりとりする状況が考えられるわけですよね。
      親コメント
  • オレオレ証明書がまずいのは、ルート証明書として
    信頼できない点なわけで、そういう意味では
    WindowsUpdateなどで運ばれてくるMicrosoft
    が認証した証明書群に無条件でトラストアンカーを
    設置してしまうというのも「なんだかな~」と
    思ってしまいます。

    とはいいつつも、エンドユーザが例えばベリサインの
    CPShttp://www.verisign.co.jp/repository/CPS/ [verisign.co.jp]
    なんて読まないのだから、それよりはずっとましなんでしょうが。
    いい落としどころなんですかね?

    皆さんはどうお考えですか。
    • 正直な話、OSやWebブラウザに付いてきたルート証明書の
      真正性だなんて自分では検証したことが無いよ。
      というか、(例えば)MSの証明書ってどこで検証できるのかな?

      工場から出荷されるCD-ROMが本物であるとか、倉庫番が
      悪さしないとか、留守に配達を受け取ってくれた家族だ
      とか、結局、信用の強度としてはどの辺りだか物理世界の
      ずっと弱いところに依存してるんじゃないか知らん。
      親コメント
    • 他者と言っても、この場合、内容を入れ換える可能性があるのは
      Microsoft なわけです。
      もし Microsoft を信頼できないと仮定するなら、問題のある
      証明書のインストールなんてまどろっこしい手を使わなくても、
      Microsoft には、いくらでもあなたに対して不正を働く手段が
      あります。(Microsoft が不正を働いているという意味では全く
      ありません。技術的にそれが可能だという意味です。)

      もし Microsoft を信頼できないと仮定するなら、そもそも
      Microsoft 製の OS やアプリケーションを利用してはいけません。
      (たとえ Apple の OS を利用していても、Microsoft Office を
      その上で利用していれば、同程度のリスクがあります。)

      Microsoft の OS やアプリケーションを利用しているのであれば、
      証明書の信頼性について Microsoft の判断を信頼するのは、許容
      できる範囲のリスクなのでは?
      親コメント
typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...