ベリサイン Secure Site に偽装の脆弱性 〜安心のマークが不安のマークに!〜
3月9日、日本ベリサインの提供する「Secure Siteシール」に偽装の問題点が本誌の調査で発見された。
存在しない web サイトや日本ベリサイン社の認証を受けていない web サイトでも簡単に、認証を受けた web であるかのような偽装が可能となっていた。なお、この問題
製品・サービス・業界動向
業界動向
存在しない web サイトや日本ベリサイン社の認証を受けていない web サイトでも簡単に、認証を受けた web であるかのような偽装が可能となっていた。なお、この問題点は、本誌からの通報により、すでに日本ベリサイン社により修正されている。
セキュリティに関する重要なお知らせ(第三報)
http://www.verisign.co.jp/press/alert/security_alertert20020309.html
>> 安心のマークだったはずの「Secure Siteシール」
「Secure Siteシール」は、日本ベリサイン社が発行するシールで、サーバが存在することが確認できるサービスである。
多くの方が、さまざまな web で丸い黄金の中に「Verisign」と書かれたマークを目にしたことがあると思う。あのマークである。このシールを自社サイトに貼るには、日本ベリサイン社に申込み、サーバを登録してもらう必要がある。登録後、自分の web このシールを貼る事ができる。
シールはクリックできるようになっており、クリックするとベリサイン社のwebに飛び、その web が認証されたものであることを証明する表示が行われる。 web を訪れた利用者はシールをクリックすることにより、当該サイトが実在し、ベリサイン社の認証を受けていることを確認することができる。
日本ベリサイン社の「Secure Siteシール」説明ページ
http://www.verisign.co.jp/securesite/program.html
数多くの企業・団体がこのシールを貼ることで、利用者に安心感を与えようとしている。
Secure Site 掲載企業・団体
http://www.verisign.co.jp/securesite/sitelist.html
>> 存在しない web サイトでも偽装は簡単に行うことができた
このシールと認証を利用するには、日本ベリサイン社に申込み、認証を受けなければならないのであるが、存在しない web でもあたかも認証を受けた web であるかのように偽装することが可能であった。
簡単なHTMLファイルをひとつ作るだけでベリサイン社のwebで「Secure Site」であるという表示を行うことができたのである。
偽装のサンプル
http://www.vagabond.co.jp/top/image/verisign02.GIF
>> 日本ベリサイン社 あいつぐ問題点
日本ベリサイン社は、昨日、同社のweb のCGIの問題点が発見されたばかりである。その問題点を修正するために一時的に、「Secure Siteシール」のサービスは停止していた。
だが、サービス再開したとたんに、今回の偽装の問題点が発見された。
認証サービスにより利用者に「安心」を提供するのが、事業の根幹である同社にとって、このような立て続けの問題は、事業そのものをゆるがしかねない。また、利用者にとっても、幅広く利用されている同社のマークの認証があてにならないということは、大きな不安につながりかねない。
セキュリティに関する重要なお知らせ
http://www.verisign.co.jp/press/alert/security_alertert20020307.html
http://www.verisign.co.jp/press/alert/security_alertert20020308.html
>> 安心できるマークはない!?
先日、オンライントラストマークの問題点が発見されたばかりである。利用者が、信用できる「安心マーク」はないのだろうか?
また、マークを利用する企業にとっても、普及しているからという理由だけで安易にマークを導入することなく、マーク取得自体にも責任をもって本当に安心できるマークを導入して欲しいものである。
マークを採用する企業側のチェックにより、マークそのものも見直し、進化してゆくはずである。
関連記事
日本ベリサインのWebに重大な問題が! ファイルが丸見えに(2002.3.7)
https://www.netsecurity.ne.jp/article/1/4266.html
オンライントラストマークがメール送信事故 地に落ちたマークの信頼性
(2002.2.9)
https://www.netsecurity.ne.jp/article/1/3936.html
利用者を危険に誘導する R-MSX サイトだったオンライントラストマーク
(2002.2.9)
https://www.netsecurity.ne.jp/article/1/3935.html
[ Prisoner Langley ]
(詳しくはScan および Scan Daily EXpress 本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
http://shop.vagabond.co.jp/m-sdx01.shtml
《ScanNetSecurity》