【マンスリーレポート 2002/03】信頼は戻るか!日本ベリサイン「Secure Site シール」
3月7日、セキュリティ上の問題のため、大手認証ベンダである日本ベリサイン社の情報提供サービス「Secure Site シール」が一時停止する事態が発生した。
その後も別のセキュリティ上の問題が発覚するなど、“安心”を証明するはずのマークがまさに“不安”のマークと
製品・サービス・業界動向
業界動向
その後も別のセキュリティ上の問題が発覚するなど、“安心”を証明するはずのマークがまさに“不安”のマークとなる事態となった。結局、「Secure Site シール」が復旧したのは3月13日21時。つまり、約1週間もの間、サービスが停止したことになる。
>> セキュリティ配慮に欠けていたシール
この問題は、「SecureSite シール」をクリックすると、小さなウィンドウがポップアップしてくるが、サーバに対するID情報の提供を行なう際にある特殊な操作をすると、ある一定以上の権限を持たないと閲覧できないはずのフォルダまで表示されてしまうというもの。
つまり、ファイルが丸見えになってしまうのだ。この問題に対してベリサインは、迅速に対処し、3月7日の15時1分にサーバを一時停止して修正対応を行った。
>> 次々と問題が発覚
しかし、3月9日はまた別の問題が発覚する事態が発生した。存在しないWebサイトや日本ベリサインの認証を受けていないサイトでも簡単に、認証を受けたサイトであるかのような“偽装”が可能となっていたのだ。
これは、「Secure Site シール」の認証情報の表示ステップの過程で、偽装用のHTMLコードを用意することによって、偽装が可能となっていたもの。
このHTMLコードはプログラムを少し勉強しただけのいわゆる“初心者”でも簡単に作れるようなお粗末なもので、まさに、「安全」を謳うはずの認証サービスではあるまじき失態が続くこととなった。
>> 苦肉の策の改善点
3月13日21時、日本ベリサインでは、「CGIの問題は完全に解決した」とのことから「Secure Site シール」サービスを開始した。その際、改善点4点を提示、利用者の理解を求めた。改善点は以下の4つ。
1.日時情報のタイムスタンプをSecure Site シール画像に付加する
2.Secure Site シールを日本ベリサインのサーバからホスティングする
3.検索技術を活用することにより、積極的にインターネットを監視し、Secure Siteシールの不正使用を発見する
4.コードサイニング等の技術を使用することにより、情報ページの完全性を強化する
なお、日本ベリサインでは、「1つのIPアドレスからのアクセスしか確認されず、本問題に起因した顧客情報および機密情報等の重要な情報が外部へ漏洩した形跡はない」としているが、編集部では3人の全く異なるIPアドレスからファイルを閲覧していたことを確認している。日本ベリサインでは、ログによる確認では、アクセス内容について充分な情報を得られていなかったことが推測される。
>> 偽装はいまだ防げず
CGIの問題は上記で解決したが、開始されたサービスでも、偽装用のHTMLコードを用意することによって、偽装が可能となる問題は解決していない。
ベリサインでは偽装の問題を認識しそのうえで、「インターネット上で使用される各種トラストマークの完全性は、インターネットおよびHTMLの特性上、一定の限界が存在し、ベリサインのSecure Site シールも例外ではない。インターネット上の画像ファイルは、不法に複製および変更が可能」と説明。
さらに日本ベリサインでは、「このような限界があることを認識している」とし、利用者に「インターネット利用者Secure Siteシールをウェブサイトに関する情報を得るための手段の一つ」として活用するよう、ひとつの表示に頼らず複数の方法で確認するよう啓蒙している。さらに、利用者自身が、機密情報を送信する前にそのサイトに関する情報を入手しするとともに、そのサイトに関する外部情報も参考にするよう自衛に努めることを推奨している。
【執筆:森山牧子】
詳しくは「Scan Incident Report」本誌をご覧ください。
http://shop.vagabond.co.jp/m-sir01.shtml
▼ウイルスのマンスリーレポートは「Scan Daily Express」に掲載されております。詳しくは下記をご覧ください。
http://shop.vagabond.co.jp/m-sdx01.shtml
▼なお、Scan本誌ではウイルス・インシデント・事後対応のマンスリーレポートすべてをご覧いただけます。
http://shop.vagabond.co.jp/m-ssw01.shtml
今月のタイトル
【日本語環境をターゲットにしたウイルス FBound に被害急増】
【信頼は戻るか!日本ベリサイン「Secure Site シール」】
【インシデント事後対応 ベストは日本ボルチモア ワーストは首相官邸、日本ベリサイン】
《ScanNetSecurity》