日本ベリサイン 信用できない表示のままの「Secure Site シール」 | ScanNetSecurity
2024.05.03(金)

日本ベリサイン 信用できない表示のままの「Secure Site シール」

 〜利用者の啓蒙による自衛強化などによる複合的な対処が必須〜

製品・サービス・業界動向 業界動向
facebookLINE
 〜利用者の啓蒙による自衛強化などによる複合的な対処が必須〜

>> 再開された「Secure Site シール」でも偽装を防げない

 3月7日以降、立て続け発見された問題により、断続的にサービスを停止していた日本ベリサインが3月13日に「Secure Site シール」サービスを再開した。

「Secure Site シール」情報提供サービス 再開のお知らせ
http://www.verisign.co.jp/press/alert/security_announce20020313.html

 しかし、開始されたサービスには、いまだ偽装が可能な問題が含まれていた。偽装の方法は、基本的に、前回本誌で報じたものと同じである。

ベリサイン「Secure Site シール」の問題点 プログラムの設計方針に初歩的問題?(2002.3.11)
https://www.netsecurity.ne.jp/article/1/4286.html

偽装用のHTMLコードを用意することによって、偽装が可能となっている。

偽装のサンプル
http://www.vagabond.co.jp/top/image/verisign06.html

 これ以上のサービス停止が許されない、米国本社のサーバとの技術的すり合わせなど、多くの課題を抱えた現場の苦悩を感じさせるサービス再開である。
 とはいえ「Secure Site シール」の表示が偽装可能であり、信用できないままであることに変わりはない。


>>信用できない表示となった「Secure Site シール」 自衛を奨めるベリサイン

 同社は、この問題が残されていることを認識しているが、利用者に対して啓蒙を行い、偽装を見破るあるいはひとつの表示に頼らず複数の方法で確認してもらうことで対応するとのことである。
 そのために同社では、サービス再開にあたり「インターネット利用者Secure Site シールをウェブサイトに関する情報を得るための手段の一つとして活用することを推奨」とし、「Secure Site シール」以外の情報も同時に確認することを奨めている。つまり、「Secure Site シール」の表示のみで信用するのではなく、複合的に判断を行うように啓蒙している。
 偽装と対処はいたちごっこという側面ももっている。偽装対処を進める一方で、利用者に対して啓蒙と情報提供を行い、偽装の被害を最小限に食い止めることも重要である。
 できることならば、「Secure Site シール」を貼っている企業にも同社から利用者を啓蒙するような文書が提供されることが望ましいと思われる。
 いっそのこと、「Secure Site シール」をクリックすると表示する認証サービスそのものをやめる、米国本社に直接飛ばして英語表示するといった方が、偽装されるよりは、まだよいのではないだろうか?


>> 米国サーバとのやりとりで開発とメンテを優先し、セキュリティが甘かった?

 「Secure Site シール」のデータベースが米国本社で一元管理されており、日本語表示を行うために、1回米国本社のデータベース処理を行った結果を日本のサーバで日本語に変換して表示する処理が必要になっているのではないかと推定される。
 米国データベースの検索処理をすべて日本語化したプログラムを用意すれば問題ないが、開発効率とプログラムのソースコードのメンテナンスなどを考えると検索処理部分は全世界共通として表示部分のみを切り離して日本語化した方が効率的である。特に同社のように全世界に対して、同じサービス同じデータベースを提供するような会社では、各国ごとに異なる部分は、最小限におさえたいと考えるのはありそうな話しである。

 しかし、プログラムの開発効率とメンテナンス性には、効果があるものの、2つのプログラム間でデータを引き渡すことには、攻撃者のつけいる隙が生まれる可能性がある。特に、2つのCGI間でデータを受け渡すことは、受け渡しデータの偽装やどちらかのCGIの偽者を作っての偽装などが行われる可能性がある。


関連情報
日本ベリサインのWebに重大な問題が! ファイルが丸見えに(2002.3.7)
https://www.netsecurity.ne.jp/article/1/4266.html

日本ベリサインの「SecureSiteシール」サービスが停止(2002.3.9)
https://www.netsecurity.ne.jp/article/1/4280.html

ベリサイン Secure Site に偽装の脆弱性
〜安心のマークが不安のマークに!〜(2002.3.9)
https://www.netsecurity.ne.jp/article/1/4279.html

あれから1週間・・・「Secure Site シール」情報提供サービス再開
(日本ベリサイン)(2002.3.14)
https://www.netsecurity.ne.jp/article/1/4333.html


[ Prisoner Langley ]

(詳しくはScan および Scan Daily EXpress 本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
http://shop.vagabond.co.jp/m-sdx01.shtml

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  6. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  7. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

    クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

  10. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

ランキングをもっと見る
ホーム 製品・サービス・業界動向 業界動向 記事
TOP