無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」 144
ストーリー by yoosee
紺屋の白袴...ってそもそも紺屋なのかい? 部門より
紺屋の白袴...ってそもそも紺屋なのかい? 部門より
あるAnonymous Coward曰く、"10月24日のCNET Japanの記事、日経ITProの記事、インターネットコムの記事などによると、クローバー・ネットワーク・コム社が、フィッシング詐欺とファーミング詐欺を防止できるとする偽サイト判定ソフト「DocWall」の無償配布を開始したそうだ。
動作の仕組みは、同社がホワイトリスト(正規サイトのドメイン名とIPアドレス)とブラックリスト(偽サイトのアドレス)を管理し、それにしたがって、ブラウザ側で警告を出したり、本物サイトであることを表示したりするというもの。これらのリストは、自動アップデイト機能によってダウンロードされるという。
利用者側は無料だが、サイト運営者側は同社のホワイトリストに掲載してもらうのに年額10万~200万円の料金が必要。「フル機能」の場合は、大手金融機関で契約金2000万円、年間運用費2000万円からとのこと。
ところで、そのクローバー・ネットワーク・コム社のサイトには、SSLで接続される「お問い合せ」のページがあるのだが、これが先日話題となった「オレオレ証明書」で運用されているようだ。自動アップデイトの通信の安全性は大丈夫なのだろうか。"
いわゆるJWORD商法の一種? (スコア:5, すばらしい洞察)
↓
クライアントソフトを無料で配りまくる。
↓
パソコンメーカーに、掲載料を払ってでも、プリインストールしてもらって、とにかく普及させる。
↓
サーバーサイト側に「登録してあげます」と登録料を要求する。登録事務にかかる適正価格とは桁違いの値段を登録料とする。
↓
元締め会社はウマー
↓
サイト側でかかった不要支出の分だけ消費者が見えないコスト負担を強いられる。
↓
消費者はなんだかよくわからないものを使わされるだけ。
ギャグで言っているのか? (スコア:5, すばらしい洞察)
・製品紹介ページ [clovernetwork.co.jp]で製品名が間違ってる>Doc Bell
・導入手順1.「DocWallのダウンロードアイコンをダブルクリックしてください」
・ダウンロードはHTTP
・実行ファイルにもデジタル署名無し
オレオレ証明書の他にもやる気の無さは現れまくってますがな。
これで何を保証しようというんだ。
いや 何も保障しない と利用許諾表示画面で言っているから問題ないのか
Re:ギャグで言っているのか? (スコア:2, 参考になる)
コピペして修正し忘れたみたいですね。
#どっちも怪しいことに変わりはないけど
名物に旨いものなし!
ホワイトリストは改竄可能、ブラックリストは現在空っぽ (スコア:5, 参考になる)
さらに、The Wind of Blessing 「フィッシング詐欺防止システムDocWall」 [seesaa.net] にも体験レポートがあるようです。
なにがなんだか (スコア:4, 興味深い)
しかも、タレコミにあるcnetなどの記事によると とホワイトリストへの掲載は有償、いったいどこの会社が登録するのでしょうか?大体、特別なクライアントが必要で、一般的じゃないホワイトリストを利用するメリットが分かりません。なによりもVeriSignなりの既存の認証機関により、ブラウザで自動的にサイトが本物であるとわかる仕組みがすでにあるというのに、、、
新手の詐欺 (スコア:2, すばらしい洞察)
Re:なにがなんだか (スコア:2, 参考になる)
a. O銀行のサイトのドメイン名を正確に知っていて、
b. SSL 証明書の cn がそのドメイン内のサーバであることを確認する。
必要があります。
O銀行が o-bank.com だとして、ο-bank.com を悪い人が
使っていたとしたら、普通のユーザに区別がつくでしょうか。
ですから、極限定的なエントリからなるホワイトリストを、
そもそも信用のある主体が管理するモデル(例を挙げれば、
金融庁の管理する銀行サイトホワイトリスト)
であれば
有効だと思います。
今回上記条件を満たしているかどうかは疑問ですが。
Re:なにがなんだか (スコア:1, 参考になる)
CN がアドレスバーのホスト名と一致するかは SSL クライアントが自動的に検査してくれるので、人が確認する必要はありません。
Re:なにがなんだか (スコア:1)
Re:なにがなんだか (スコア:2, 興味深い)
数万円かかる発行者なら、たぶんそういうチェックもしてそうですが、
数千円で取れる証明書ではそんなチェックしてないでしょう。
発行元が外国な場合は、類似してるかどうかもわからないし、どちらが本物かどうかの区別もできないでしょう。
総会屋とかブラックジャーナリストのように (スコア:2, すばらしい洞察)
と言うような新手の企業恐喝に使えそうですね。
# つるかめつるかめ…
Re:なにがなんだか (スコア:1)
ホワイトリスト掲載に載せたとして、その費用に似合うだけの何をやるのだろう。
質の悪いミカジメ料にしか見えない。
Re:なにがなんだか (スコア:1)
釣り堀入場料なのかも。
Re:なにがなんだか (スコア:1)
#だめそう
DocBellってのも… (スコア:4, 興味深い)
これっていわゆるワンギリソフトでしょうか?
Re:DocBellってのも… (スコア:2, 参考になる)
#なんとなく鳴ってるときにうまく取れたらいい事あるんじゃないかなー、とか考えてたけど。
らじゃったのだ
Re:DocBellってのも… (スコア:3, おもしろおかしい)
フロアの端から電話の音が段々近づいてきて
通り過ぎていくのは、ナカナカ怖いものがあります。
最初に体験したときは、ビビッた。
あぁ~なるほど (スコア:1, 興味深い)
着信があったのですが これかもしれないですね
しかもわりと最近なので。
(しかも、非通知ですよ)
Re:あぁ~なるほど (スコア:2, 参考になる)
私が3年前に引越しして固定電話を設置した当時、暫く毎日のように留守電に非通知・メッセージなしの着信があったのですが、最近は週に一回程度になりました。恐らくこういうソフトを使ってる業者の間に"生きてる番号"として浸透したんでしょう。
ちなみに、固定電話に非通知で毎日時間帯をずらして電話を掛けてきて、出た途端に切られる場合、その相手は"こちらが不在にする曜日・時刻パターン"を調べている泥棒とも考えられます。
2002年11月、クローバー・ネットワーク・コム (スコア:4, 興味深い)
議論されている [2log.net]ようです。
このときこの会社が売り出したのは「企業などの中傷を
含んだ悪質なホームページを検索するサービス」だったとか。
当事の議論では、これはむしろ悪徳商法を行なう企業に
与しかねない危ういサービスではないか、という論調が
見受けられます。
証明書 (スコア:3, 参考になる)
Re:証明書 (スコア:2, 興味深い)
Re:証明書 (スコア:2, 参考になる)
無理でしょ。
Re:証明書 (スコア:1)
しかも何だよこのCNは...
Re:証明書 (スコア:2, おもしろおかしい)
ブラックリスト (スコア:2, 興味深い)
ざっと見ただけなのでどこかに書いてあったらごめんなさい。
Re:ブラックリスト (スコア:3, おもしろおかしい)
プライバシーマーク認定機関の目は節穴 (スコア:2, 興味深い)
だそうですよ。
プライバシーマーク認定機関っていったい・・・・
Re:プライバシーマーク認定機関の目は節穴 (スコア:2, 参考になる)
おれおれ証明書関連のアレは無かったと思いますよ
たしか・・・
#春に取得した時点では指導項目になかったハズ
#まぁ、CAはちゃんとしたとこ使ってますが
Re:プライバシーマーク認定機関の目は節穴 (スコア:1, 参考になる)
確かに、どういうサーバー証明書使ってるかまでは聞かれませんでしたねぇ。
#うちもちゃんとしたとこ使ってます
Re:「オレオレ証明書」 (スコア:1)
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
#そういうのはオレオレ証明書って言わないんでしょうか?
第三種オレオレ証明書 (スコア:3, 参考になる)
はてなダイヤリー -オレオレ証明書とは- [hatena.ne.jp] に記載されている「高木浩光氏によるオレオレ証明書の分類」に従うと
ではないでしょうか。
Re:第三種オレオレ証明書 (スコア:3, 参考になる)
件のページではオレオレ証明書の定義として次のようにあります。
自己認証の証明書でも、それが安全であると主張していなければ、単純にSSLを使っていないだけのページと同じ程度の安全性で、利用者もそのつもりで利用するというだけでしょう。
安全でないものを安全だと嘘の説明をすることがオレオレ証明書の問題なので、安全だと言わない限りは非難される物でもないと思います。
Re:もう当たり前のように使われてるんじゃないか (スコア:2, すばらしい洞察)
ただし、認証や、アクセス規制がかからず公開されているWebページで使用されている自己発行証明書はオレオレ証明書扱いでしょう
認証等で制限され、使用者すべてに自己証明書等が配布されているのであれば、まぁオレオレ証明書でなく適応と言っても良いと思いますが
フィンガープリントだろうと、別ルートで公開キーを安全に入手出来るようにしてあろうと
それを該当ルートで入手してない人にとってはオレオレ証明書と変わらない訳だし、公開用Webページで使う物では無いでしょう
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
> それを該当ルートで入手してない人にとってはオレオレ証明書と変わらない訳だし、
素朴な疑問として、ダウンロードしてきたブラウザとか、
プレインストールさていたOSに最初から入っている証明書、というのは、
どういう扱いになるんでしょうか?
それを別途検証して使っているという人をあまり見たことがありませんが。
そういう意味では、そういうものもオレオレ証明書と変わらん、
と結論付けざるを得ないのではないでしょうか。
Re:もう当たり前のように使われてるんじゃないか (スコア:4, 参考になる)
> プレインストールさていたOSに最初から入っている証明書、というのは、
> どういう扱いになるんでしょうか?
> それを別途検証して使っているという人をあまり見たことがありませんが。
> そういう意味では、そういうものもオレオレ証明書と変わらん、
> と結論付けざるを得ないのではないでしょうか。
同意します.すでに,「オレオレ証明書か否か」での単純な基準だけで安全性を判断してはダメ!という教育が必要な段階ではないかと思います.
以下,以前自分のblogのエントリ( 無償で正統的なコードサイニング証明書を入手する方法 [keio.ac.jp])で書いた内容ですが:
たとえば,ThawteのPersonal E-mail Certificates [thawte.com]というサービスでは,メールアドレスさえあれば,個人用の証明書を,誰にでもすぐにタダで発行してもらえます.ここで使われているCAは,Firefox, Thunderbird, Java Runtime Environmentなどにあらかじめ組み込まれている,Thawte Consulting の Thawte Personal Freemail CA という名前のもので,ここから発行された証明書で署名された内容は,上記のアプリケーションで,警告無しに受け入れられることになります.
さらに,Convert the Java JKS key-store to Microsoft PFX format [crionics.com]というページには,そうしてThawteから受け取った証明書を,Java JKS key-store 形式ないし Microsoft PFX format に変換する手順が書かれています.このページに沿って作業をすれば,Java JAR ファイルへでもMicrosoft CAB ファイルへでも,自由にコード署名ができるようになります.
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
逆に言えば配布元、配布ルートが信頼できる物でありえるのであればそれはオレオレでは無いと言うことになります
最終的に判断するのは使用者であり購入者です
まぁいい加減な証明書を添付して配布していたら、購入者以外の人からのつっこみも有るかもしれませんね
Microsoftや各ブラウザ提供者が配布している証明書は少なくとも信用できると一般的に判断されている?から使用されているのでしょう。
そして各証明書等を持っていない場合は信頼できるかどうかですら、判断されていないわけですから、当然オレオレ証明書となるわけです
Re:もう当たり前のように使われてるんじゃないか (スコア:5, すばらしい洞察)
こういうブラウザとかをダウンロードしてルート証明書まで確認する人がどれだけいるか?と言えば、ほとんどの人はそんなものまで確認しないんじゃないかな?
でもなぜか信頼されてますよね。
信頼されてると言うより、そこにオレオレ証明と同様な危険性があるとは誰も気にしていないし指摘している人もいないというか。
それに対して、いわゆるオレオレ証明に対してはヒステリックに拒絶をするというのは、危険性の指摘にバランスを欠いていると感じます。
ブラウザがhttpなんだからオレオレ証明でもいいじゃないかとか、オレオレ証明で騒ぐぐらいならブラウザの配布も問題にしろという話ではなく、どちらも同程度の危険性がある(むしろブラウザの方が明確にユーザがルート証明をインストールするという手順を経ない分危険かもしれない)にも関わらず、危険性の指摘がバランスを欠いているという事に対して、直感的な違和感があるというだけですが。
Re:もう当たり前のように使われてるんじゃないか (スコア:2, 参考になる)
是非確認してみてください。ただし、V1.0には署名がありません。
Windwos XP SP2 だと、チェックが少し楽になってます。
インターネット経由でダウンロードしたプログラムには「インターネットからダウンロードした」というマークが付き
コード署名されて正当性が確認できたときは軽い警告(黄色)が出て、そうでないときは強い警告(赤色)が出たはずです。
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
であれば、フィンガープリントで検証するのもありですね。
そう考えると、フィンガープリントを別途入手する手段が用意されているものを、そうでないものと一緒にして、と括ってしまうのは、乱暴な議論じゃないでしょうか。
もちろん、そういう立場の人が居ても良い訳ですが、そうでない立場もありますよ、ということで。
Re:もう当たり前のように使われてるんじゃないか (スコア:2, 参考になる)
ちなみに出来ることが可能である事ではありません
それは前の発言にも書いたとおりです、アクセスが確認できる人に制限されており、さらにユーザーに証明書等が信用できるルートで配布されていれば問題ないと言うこと
逆に言えば参照できる全ユーザーがフィンガープリントを確認し、正常で有ることを確認するのであればオレオレではないと言うことです。
しかし、確認しない人、まだ確認出来る物を持っていない人にとってはオレオレ証明書なわけです
証明書の場合はブラウザが自動で確認してくれますから、少し条件が楽になりますが、フィンガープリントだと確認してもらわないといけないのでアクセスを限定しない限り実現するのは大変でしょう
>と括ってしまうのは、乱暴な議論じゃないでしょうか。
事実上インターネットに接続し、ブラウザを使用してSSLにてアクセスする全ユーザーに上記を強制するのがほぼ不可能に近い作業であると考えますから、別に乱暴でも無いと思いますよ
Re:もう当たり前のように使われてるんじゃないか (スコア:1)
ただし、一般的にその証明書がオレオレで有るかどうかを評価するばあいは、アクセスできる多くの人を基準にして考えますから、やはりオレオレ証明書となってしまうと言うことです
Re:もう当たり前のように使われてるんじゃないか (スコア:2, 参考になる)
それと同等の検証を、ブラウザ・OSの配布・流通においては、どう行ってます?
フィンガープリントが事前に全員に配られていなければならない、というのは厳しすぎる気がします。
ブラウザやOSの配布・流通では、すべての人が検証手段を持っているわけですらないのですから。
利用しようとする人のほとんどすべてが、フィンガープリントを(複数の手段で)入手できる、
と言う程度が適当だと思いますが、どうでしょうか?
それでも、ブラウザやOSの流通に比べて、厳しすぎるような気もしなくはないですが。
-----
...と、言うように、こう言った議論では、断定を避けるような議論になるかと思います。
立場が違えば結論も違って当然なのですから。
それも含めてどうでしょうか?
-----
ちなみに、ブラウザ・OSの流通だけでなく、管理者権限でインストールする必要のある
ソフトウェア全般に対しても、同等の検証が必要になりますよね。
MS-Windowsあたりだと、証明書ストアに何かをインストールしようとすれば、警告を発してくれるかな?
APIでなく、ファイルを直接アクセスするような場合でも警告は出るんだろうか?
Re:もう当たり前のように使われてるんじゃないか (スコア:3, 参考になる)
そのためにSSLの証明書はブラウザとともに配布されている訳でしょう
また各証明書発行団体の検証は配布側の企業・団体に委任されていると見て良いでしょう。
Microsoftだと詳細は不明ですが、こんな感じのようです [microsoft.com]
それは、秘密キーの管理の確認であったり、発行先の身元の確認方法で有ったりするわけです。
そしてユーザーはその配布団体を信用するかどうによって同時に配布されている証明書を信用するかどうかと言う事になります
そしてそのブラウザを使用して、配布された証明書を使用しSSLのアクセスを行うと言うことは、配布団体を信用するって事になるでしょう。
発行元を信用するというのは...秘密キーの管理は厳重に行われる事を確認しなければ意味がありません。
少なくとも他者に漏洩した時点でその鍵ペアは危険な物になりますから当然の最低条件です。
自己証明の場合は上記を判断する事を流通を行う側ではなく、使用者個々人に対して要求する訳ですが、フィンガープリントとともに不特定多数対し判断可能な資料は提示されるのでしょうか?
そしてそこまでを注意して個人に判断しろというのは、やはり不可能でしょう
その組織が責任を持てる範囲なら自己証明で処理することは問題ないと思いますが、不特定多数にそれを実行する物ではないと言うことです。
そしてオレオレだと文句を言われない為には、配布元が責任をもてる人以外はアクセス出来ないように制御するのが好ましいでしょう
Re:もう当たり前のように使われてるんじゃないか (スコア:2)
>どのくらい安全だといえますか?
フィンガープリントはあくまで流通の正常性を証明するものですね。逆に言えばソフトMD5だったりするわけです
発行者が信用できないのであれば双方とも安全ではないでしょう
発行者や流通が信用できるものであれば、双方は信用できる元となります
それに私はフィンガープリントで確認した証明書が安全ではないといっている訳ではありません
フィンガープリントで確認することが不可能な人、また確認しようとしない人にとっては、自己証明はオレオレ証明書でしかないのです。
そして公開サーバーを評価するばあい、フィンガープリントでその安全性を確認する方法は、すべての人が見れる環境においては不適当でしかありません
それは強制的にフィンガープリントを確認するという行為を適応することが不可能だからです
>では、マイクロソフトは、どういう責任を取ってくれるのでしょうか?
配布元が信用できなければ、ブラウザから削除もできますし
ブラウザ自体を使用しないこともできるでしょう
その後、信用できる方法で使用者の責任においてインストールするという方法もありますよ
CAも同様です(苦笑
まぁ、信用できる人だけがつかっているのでしょう
ただし、信用度は自己証明より実績面で上だと判断する人が多いのは確かだと思います
フィンガープリントがあればいいってものじゃない (スコア:2, すばらしい洞察)
Re:配布される(ホワイト|ブラック)リストが (スコア:1, すばらしい洞察)
大してスキルも無い人たちが、「SSLに換わるモノ」をでっち上げてるように見えるね。
現時点で「リストさえ充実すれば有用」とも見えない時点で、
企業価値を粉飾するマネーゲームの一環なのかも知れないと穿った見方をしちゃうよ。
Re:電子証明書って本当になんかの役に立ってるの? (スコア:2, おもしろおかしい)
停電対策とか言ってますけど、サーバー室で停電しなくても
掃除のおばちゃんがコンセント抜けばわからないわけで(笑
Re:政府で指導 (スコア:2, 参考になる)
そりゃ無理だっぺ。
高木浩光氏曰く、病原体の発生源は政府である。この国のPKIはもう死んだに等しい。 [takagi-hiromitsu.jp]
名物に旨いものなし!