水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2008年のえび日記 > 2008年7月 > 2008年7月17日(木曜日)

2008年7月17日(木曜日)

ベリサインのセキュアドシールは役に立つのか

セキュリティホールmemo (www.st.ryukoku.ac.jp)より、「Adobe Flash Player バージョン9.0.124.0導入環境においてベリサインセキュアドシール(Flash形式)の検証ページが表示出来ない事象について (www.verisign.co.jp)」。

Flash版のセキュアドシールが表示できないそうで。

……しかしこれ、誰が困るのですかね。いつも思うのですが、そもそもこの「セキュアドシール」って何の意味があるのでしょうか。

ベリサインのサイトを見ると「毎日世界で約1.5億回表示」なんて書いてあるようです。シールを表示する際のログはきっちり記録されていて、それがベリサインのマーケティングに役立っているのでしょう。というわけでベリサイン側にはメリットがあるのでしょうが、これを貼る側にどういうメリットがあるのか分かりません。

ベリサインのサイトには以下のように書いてあるのですが……。

エンドユーザはシールが掲載されているサイトが実際に存在しており、SSLにより暗号化されていることを検証することが可能です。お客様のサイトにシールを掲載することで、セキュリティに対する取り組みをアピールし、エンドユーザに安心感を提供します。 シールをクリックすると検証ページにサイト運営主体(お客様)の詳細情報が表示され、お客様のサイトへの信頼を高める一助となります。

以上、ベリサインセキュアドシールについて より

わかりやすい信頼の証があると良いよね、という話は理解できるのですが、気になるのは、その「信頼の証」が本物かどうかという点です。このシールは普通にWebページに貼られているに過ぎませんから、攻撃者は偽サイトに本物そっくりのシールを掲載することができます。シールをクリックしたときに現れるリンク先のページも用意することができます。利用者がシールをクリックし、何かが表示されたとして、その内容は本物なのでしょうか。

それを確認することはいちおう可能です。ブラウザのアドレスバーを見てベリサインのドメインであることを確認し、SSL/TLSが有効であることを確認すれば良いのです。逆に言うと、ユーザが「シール」を利用する際は、こうやって確認しなければならないということです。そして、それができる利用者は、シールが無くても元サイトの安全性を自分で確認できるでしょう。

※もっとも、これはベリサインのサイトに脆弱性が無いという前提での話です。昔はホントに脆弱だったので、この確認をしてさえ本物かどうかは分からない状態でした。さすがに今は大丈夫だろうと思いますが……。

さらに言ってしまうと、ベリサイン側では Referer チェックなどはしていないようですので、偽サイトから本物のシールのリンク先にリンクすることも可能です。ですから、たとえリンク先の内容が本物だと確認できたとしても、リンク元が本物だという事にはなりません。

要するに、シールをクリックしても、サイトの安全性を確認することはできないのです。ユーザが安全にサイトを利用するためには、元サイトのドメインを確認したり、鍵マークを見て SSL/TLS が有効であるかを確認したりして、本当に信頼できるサイトと通信しようとしているのかを確認しなければなりません。シールがあったとしてもこの手順を欠かすことはできませんし、シールが無くても、この手順さえ踏んでいれば大丈夫なはずなのです。

このシールでいちばん心配に思うのは、利用者が上記のようなことをきちんと理解できるのかどうかという点です。このシールを見た利用者の何人かは、「このシールをクリックすれば安全を確認できるのだ」と思ってしまうのではないでしょうか。そんな利用者は、攻撃者のフィッシングサイトに置かれた偽のシールをもあっさり信用してしまうでしょう。

このシールを使うこと自体が危険だとまでは言いませんが、シールを貼る場合は、利用者がシールを信用してしまわないように、以下のようなことが伝わるようにしたいものです。

……そもそも、こういうシールが出てきた背景には「サイト運営者が誰なのか分かりにくい」といった話があると思うので、EV SSL が普及してくると、このようなシールの必要性も無くなってくるのではないか、と希望的に考えていたりもします。

関連する話題: セキュリティ / SSL/TLS / Flash / シール

最近の日記

関わった本など