ベリサイン Secure Site に偽装の脆弱性 〜安心のマークが不安のマークに!〜 | ScanNetSecurity
2024.03.29(金)

ベリサイン Secure Site に偽装の脆弱性 〜安心のマークが不安のマークに!〜

 3月9日、日本ベリサインの提供する「Secure Siteシール」に偽装の問題点が本誌の調査で発見された。
 存在しない web サイトや日本ベリサイン社の認証を受けていない web サイトでも簡単に、認証を受けた web であるかのような偽装が可能となっていた。なお、この問題

製品・サービス・業界動向 業界動向
 3月9日、日本ベリサインの提供する「Secure Siteシール」に偽装の問題点が本誌の調査で発見された。
 存在しない web サイトや日本ベリサイン社の認証を受けていない web サイトでも簡単に、認証を受けた web であるかのような偽装が可能となっていた。なお、この問題点は、本誌からの通報により、すでに日本ベリサイン社により修正されている。

セキュリティに関する重要なお知らせ(第三報)
http://www.verisign.co.jp/press/alert/security_alertert20020309.html


>> 安心のマークだったはずの「Secure Siteシール」

「Secure Siteシール」は、日本ベリサイン社が発行するシールで、サーバが存在することが確認できるサービスである。
 多くの方が、さまざまな web で丸い黄金の中に「Verisign」と書かれたマークを目にしたことがあると思う。あのマークである。このシールを自社サイトに貼るには、日本ベリサイン社に申込み、サーバを登録してもらう必要がある。登録後、自分の web このシールを貼る事ができる。
 シールはクリックできるようになっており、クリックするとベリサイン社のwebに飛び、その web が認証されたものであることを証明する表示が行われる。 web を訪れた利用者はシールをクリックすることにより、当該サイトが実在し、ベリサイン社の認証を受けていることを確認することができる。

日本ベリサイン社の「Secure Siteシール」説明ページ
http://www.verisign.co.jp/securesite/program.html

 数多くの企業・団体がこのシールを貼ることで、利用者に安心感を与えようとしている。

Secure Site 掲載企業・団体
http://www.verisign.co.jp/securesite/sitelist.html


>> 存在しない web サイトでも偽装は簡単に行うことができた

 このシールと認証を利用するには、日本ベリサイン社に申込み、認証を受けなければならないのであるが、存在しない web でもあたかも認証を受けた web であるかのように偽装することが可能であった。
 簡単なHTMLファイルをひとつ作るだけでベリサイン社のwebで「Secure Site」であるという表示を行うことができたのである。

偽装のサンプル
http://www.vagabond.co.jp/top/image/verisign02.GIF


>> 日本ベリサイン社 あいつぐ問題点

 日本ベリサイン社は、昨日、同社のweb のCGIの問題点が発見されたばかりである。その問題点を修正するために一時的に、「Secure Siteシール」のサービスは停止していた。
 だが、サービス再開したとたんに、今回の偽装の問題点が発見された。
 認証サービスにより利用者に「安心」を提供するのが、事業の根幹である同社にとって、このような立て続けの問題は、事業そのものをゆるがしかねない。また、利用者にとっても、幅広く利用されている同社のマークの認証があてにならないということは、大きな不安につながりかねない。

セキュリティに関する重要なお知らせ
http://www.verisign.co.jp/press/alert/security_alertert20020307.html
http://www.verisign.co.jp/press/alert/security_alertert20020308.html


>> 安心できるマークはない!?

 先日、オンライントラストマークの問題点が発見されたばかりである。利用者が、信用できる「安心マーク」はないのだろうか?
 また、マークを利用する企業にとっても、普及しているからという理由だけで安易にマークを導入することなく、マーク取得自体にも責任をもって本当に安心できるマークを導入して欲しいものである。
 マークを採用する企業側のチェックにより、マークそのものも見直し、進化してゆくはずである。


関連記事
日本ベリサインのWebに重大な問題が! ファイルが丸見えに(2002.3.7)
https://www.netsecurity.ne.jp/article/1/4266.html
オンライントラストマークがメール送信事故 地に落ちたマークの信頼性
(2002.2.9)
https://www.netsecurity.ne.jp/article/1/3936.html
利用者を危険に誘導する R-MSX サイトだったオンライントラストマーク
(2002.2.9)
https://www.netsecurity.ne.jp/article/1/3935.html


[ Prisoner Langley ]


(詳しくはScan および Scan Daily EXpress 本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
http://shop.vagabond.co.jp/m-sdx01.shtml
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×