ベリサイン Secure Site に偽装の脆弱性 〜安心のマークが不安のマークに!〜 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.10.23(火)

ベリサイン Secure Site に偽装の脆弱性 〜安心のマークが不安のマークに!〜

 3月9日、日本ベリサインの提供する「Secure Siteシール」に偽装の問題点が本誌の調査で発見された。  存在しない web サイトや日本ベリサイン社の認証を受けていない web サイトでも簡単に、認証を受けた web であるかのような偽装が可能となっていた。なお、この問題

製品・サービス・業界動向 業界動向
 3月9日、日本ベリサインの提供する「Secure Siteシール」に偽装の問題点が本誌の調査で発見された。
 存在しない web サイトや日本ベリサイン社の認証を受けていない web サイトでも簡単に、認証を受けた web であるかのような偽装が可能となっていた。なお、この問題点は、本誌からの通報により、すでに日本ベリサイン社により修正されている。

セキュリティに関する重要なお知らせ(第三報)
http://www.verisign.co.jp/press/alert/security_alertert20020309.html


>> 安心のマークだったはずの「Secure Siteシール」

「Secure Siteシール」は、日本ベリサイン社が発行するシールで、サーバが存在することが確認できるサービスである。
 多くの方が、さまざまな web で丸い黄金の中に「Verisign」と書かれたマークを目にしたことがあると思う。あのマークである。このシールを自社サイトに貼るには、日本ベリサイン社に申込み、サーバを登録してもらう必要がある。登録後、自分の web このシールを貼る事ができる。
 シールはクリックできるようになっており、クリックするとベリサイン社のwebに飛び、その web が認証されたものであることを証明する表示が行われる。 web を訪れた利用者はシールをクリックすることにより、当該サイトが実在し、ベリサイン社の認証を受けていることを確認することができる。

日本ベリサイン社の「Secure Siteシール」説明ページ
http://www.verisign.co.jp/securesite/program.html

 数多くの企業・団体がこのシールを貼ることで、利用者に安心感を与えようとしている。

Secure Site 掲載企業・団体
http://www.verisign.co.jp/securesite/sitelist.html


>> 存在しない web サイトでも偽装は簡単に行うことができた

 このシールと認証を利用するには、日本ベリサイン社に申込み、認証を受けなければならないのであるが、存在しない web でもあたかも認証を受けた web であるかのように偽装することが可能であった。
 簡単なHTMLファイルをひとつ作るだけでベリサイン社のwebで「Secure Site」であるという表示を行うことができたのである。

偽装のサンプル
http://www.vagabond.co.jp/top/image/verisign02.GIF


>> 日本ベリサイン社 あいつぐ問題点

 日本ベリサイン社は、昨日、同社のweb のCGIの問題点が発見されたばかりである。その問題点を修正するために一時的に、「Secure Siteシール」のサービスは停止していた。
 だが、サービス再開したとたんに、今回の偽装の問題点が発見された。
 認証サービスにより利用者に「安心」を提供するのが、事業の根幹である同社にとって、このような立て続けの問題は、事業そのものをゆるがしかねない。また、利用者にとっても、幅広く利用されている同社のマークの認証があてにならないということは、大きな不安につながりかねない。

セキュリティに関する重要なお知らせ
http://www.verisign.co.jp/press/alert/security_alertert20020307.html
http://www.verisign.co.jp/press/alert/security_alertert20020308.html


>> 安心できるマークはない!?

 先日、オンライントラストマークの問題点が発見されたばかりである。利用者が、信用できる「安心マーク」はないのだろうか?
 また、マークを利用する企業にとっても、普及しているからという理由だけで安易にマークを導入することなく、マーク取得自体にも責任をもって本当に安心できるマークを導入して欲しいものである。
 マークを採用する企業側のチェックにより、マークそのものも見直し、進化してゆくはずである。


関連記事
日本ベリサインのWebに重大な問題が! ファイルが丸見えに(2002.3.7)
https://www.netsecurity.ne.jp/article/1/4266.html
オンライントラストマークがメール送信事故 地に落ちたマークの信頼性
(2002.2.9)
https://www.netsecurity.ne.jp/article/1/3936.html
利用者を危険に誘導する R-MSX サイトだったオンライントラストマーク
(2002.2.9)
https://www.netsecurity.ne.jp/article/1/3935.html


[ Prisoner Langley ]


(詳しくはScan および Scan Daily EXpress 本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
http://shop.vagabond.co.jp/m-sdx01.shtml
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割10月末迄。現在通常料金半額以下!!
<b>(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割<font color=10月末迄。現在通常料金半額以下!!">

サイバーセキュリティの専門誌 ScanNetSecurity は 1998年の創刊から20周年を迎え、感謝を込めた特別キャンペーンを実施中。創刊以来史上最大割引率。次は30周年が来るまでこの価格はもうありません

×