開始早々不備をさらけだした総務省「電子申請・届出システム」
総務省が27日より開始した「電子申請・届出システム」について、セキュリティ上の問題点が指摘されている。
この問題は、セキュリティ関係者が集うコミュニティとして知られるセキュリティホールmemoのメーリングリスト上で指摘された。
製品・サービス・業界動向
業界動向
この問題は、セキュリティ関係者が集うコミュニティとして知られるセキュリティホールmemoのメーリングリスト上で指摘された。
問題点としてあげられているのは、大きくは2点。
いずれの問題も政府の運営するPKIシステムとしては、その信頼性や安全性に大きな不安と疑問を感じさせるものである。
1.自己署名証明書の配付が安全に行われていない
暗号化により保護されていないページで証明書ファイルやフィンガープリントを配布しているため、偽者を渡すことが可能である。安全に行われていないため、偽の己署名証明書を配布し、利用者に対して悪意ある攻撃を行うことが可能である。
これらの問題を回避するには、暗号化によりページを保護するなど、比較的容易である。
2.使用されている署名済みJavaアプレットの署名に使用された証明書の所有者が不可解(わかりやすくあるべきもの)
正体不明の署名者「AppletSign」を信用しないとアプレットを使用することができない。しかし「AppletSign」を信用するための情報は全くない。
電子政府、e-Japan 構想などが今年以降、次々と現実のものになってくる。しかし、明らかにセキュリティに関しては脆弱さを残したままの見切り発車という感をいなめない。
見切り発車のつけを払うのは、一般利用者であることが多い。編集部の印象では、行政も企業もネットでのサービス展開の方が利用者保護よりも優先している。言葉を変えると、準備不足のしわよせは、利用者に回してくるつもりといえる。
総務省「電子申請・届出システム」には、利用者が被害を受けたとしてもなにも責任をもたないと明記してある。やはりツケは利用者に回ってくるのだ。
企業の競争戦略の一環としてのセキュリティ軽視(2001.11.13)
https://www.netsecurity.ne.jp/article/1/3273.html
大量無差別攻撃に無防備なサイバーテロ対策 その1(2001.10.29)
https://www.netsecurity.ne.jp/article/7/3144.html
大量無差別攻撃に無防備なサイバーテロ対策 その2(2001.10.30)
https://www.netsecurity.ne.jp/article/7/3147.html
一般利用者は、これからよりいっそうの自衛の知識が不可欠である。
もはや、誰もなにも保証してくれないし、守ってもくれない時代になってきているのである。今回の総務省の「電子申請・届出システム」は、そのことを如実に我々に伝えている。
総務省「電子申請・届出システム」のセキュリティ上の問題点
TAKAGI, Hiromitsu セキュリティホールmemoメーリングリスト
http://memo.st.ryukoku.ac.jp/archive/200203.month/3458.html
(詳しくはScan および Scan Daily EXpress 本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
http://shop.vagabond.co.jp/m-sdx01.shtml
《ScanNetSecurity》
