ベリサインのシールから連想したこと
2007年4月8日(日曜日)
ベリサインのシールから連想したこと
高木さんの日記から、「JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり (takagi-hiromitsu.jp)」。
これ書いた人は、「シール」の話と混同してるんじゃないか? 「ベリサインセキュアドシール」とか言っているが、こんなものはPKIでも何でもない、何ら技術的裏づけのないものだから、偽サイト上にいくらでも表示できる。だから、あれこれ一致しているか目で確認するように注意書きされている。そういうどうでもいい話と混同してるんじゃないの? そもそもこういう安全に使いこなせないシールなんて、やめてしまうのがPKIのプロたる会社の社会的責任だと思うが。
日本ベリサインのシールといえば、昔は捏造できることで有名だったとか、いろいろありますが……そもそも最近、ベリサインのシールを見かけなくなりました。どうも最近のシールは、スクリプトを無効にしているような用心深い (?) ユーザに対しては非表示になるという配慮がなされているようで、いちいちスルー力を試されることもなくなってだいぶ楽ですね。:-)
ところで、ベリサインの「ベリサインセキュアドシール掲載事例集 (www.verisign.co.jp)」というページにはイー・アクセスの名前が出ています。実は私も一時期イー・アクセス (www.eaccess.net)の ADSL を利用していたことがあるのですが、イー・アクセスのサイトのお問い合わせはなかなか面白いです。「お問い合わせに関する個人情報のお取り扱いについて (www.eaccess.net)」というページで「同意する」を押すと、「お問い合わせ|イー・アクセス」と題するページに遷移するのですが、そこにはこんなことが書いてあります。
このお問い合わせページのURLのみが http://www.eaccess.net/○×△/と異なるURL
https://fs219.xbit.jp/○×△が表示されていますが、
こちらはイー・アクセス(株)が契約している認証ページですので、安心してご利用下さい。
以上、お問い合わせ|イー・アクセス より
なんか試されている感じですね。もちろん、フィッシングサイトがこういう表示をしている可能性がありますから、書いてあることを単純に信用してしまってはいけません。
こんなとき、フォームが HTTPS であることが意味を持ってきます。サーバ証明書を見ることで、このサイトがイー・アクセスのものなのかどうかを判断することができるわけです。サーバ証明書が信頼ある機関から発行されていて、発行先の組織がイー・アクセスであれば、まあ信じても良かろうということになります。
証明書が信頼ある機関から発行されているかどうかについては、ブラウザが既に自動的に検証してくれています。結果が NG であれば警告が出ますので、それさえ無視しなければ大丈夫です。しかし、証明書がイー・アクセスに対して発行されたものなのかどうか、ということは確かめる必要があります。フィッシング犯が自分で法人を作るなどして、正規の手順で証明書を取得している可能性もあるからです。
※参考 : “本物”のSSL証明書を持つフィッシング・サイト出現 (itpro.nikkeibp.co.jp)
IE7 であれば、アドレスバー横のアイコンをクリックして「証明書の表示」をして、「詳細」タブの中の「サブジェクト」を見ます。O= という値が Organization すなわち組織を表しますので、そこにイー・アクセスのものらしい名前が出ていれば大丈夫です。
逆に万が一、O= の値がイー・アクセスとは関係ないものだった場合は、それはフィッシングサイトである可能性が高いと判断するべきです。まれに O=fs219.xbit.jp のようにドメイン名が入っていたりするケースがありますが、こんな値では運営者が誰なのかさっぱりわかりません。この場合もフィッシング犯が取得した証明書である可能性が否定できませんので、信用すべきではありません。
……と、こんな風に、初めてアクセスするときには証明書に書かれた運営者の名前を見ることで、そのドメインを信用して良さそうかどうかを判断することができます。安全なWebサイト利用の鉄則 (www.rcis.aist.go.jp)で言うと、サイト運営者のことを知っているけれどもドメイン名を知らない、というパターンですね。
※イー・アクセスの場合は一般に使われるドメインは eaccess.net なのですが、フォームが全く別なドメインにあるからややこしいことになります。
- 「ベリサインのシールから連想したこと」へのコメント (5件)