ベリサイン Secure Site に偽装の脆弱性 〜安心のマークが不安のマークに!〜 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.14(木)

ベリサイン Secure Site に偽装の脆弱性 〜安心のマークが不安のマークに!〜

製品・サービス・業界動向 業界動向

 3月9日、日本ベリサインの提供する「Secure Siteシール」に偽装の問題点が本誌の調査で発見された。
 存在しない web サイトや日本ベリサイン社の認証を受けていない web サイトでも簡単に、認証を受けた web であるかのような偽装が可能となっていた。なお、この問題点は、本誌からの通報により、すでに日本ベリサイン社により修正されている。

セキュリティに関する重要なお知らせ(第三報)
http://www.verisign.co.jp/press/alert/security_alertert20020309.html


>> 安心のマークだったはずの「Secure Siteシール」

「Secure Siteシール」は、日本ベリサイン社が発行するシールで、サーバが存在することが確認できるサービスである。
 多くの方が、さまざまな web で丸い黄金の中に「Verisign」と書かれたマークを目にしたことがあると思う。あのマークである。このシールを自社サイトに貼るには、日本ベリサイン社に申込み、サーバを登録してもらう必要がある。登録後、自分の web このシールを貼る事ができる。
 シールはクリックできるようになっており、クリックするとベリサイン社のwebに飛び、その web が認証されたものであることを証明する表示が行われる。 web を訪れた利用者はシールをクリックすることにより、当該サイトが実在し、ベリサイン社の認証を受けていることを確認することができる。

日本ベリサイン社の「Secure Siteシール」説明ページ
http://www.verisign.co.jp/securesite/program.html

 数多くの企業・団体がこのシールを貼ることで、利用者に安心感を与えようとしている。

Secure Site 掲載企業・団体
http://www.verisign.co.jp/securesite/sitelist.html


>> 存在しない web サイトでも偽装は簡単に行うことができた

 このシールと認証を利用するには、日本ベリサイン社に申込み、認証を受けなければならないのであるが、存在しない web でもあたかも認証を受けた web であるかのように偽装することが可能であった。
 簡単なHTMLファイルをひとつ作るだけでベリサイン社のwebで「Secure Site」であるという表示を行うことができたのである。

偽装のサンプル
http://www.vagabond.co.jp/top/image/verisign02.GIF


>> 日本ベリサイン社 あいつぐ問題点

 日本ベリサイン社は、昨日、同社のweb のCGIの問題点が発見されたばかりである。その問題点を修正するために一時的に、「Secure Siteシール」のサービスは停止していた。
 だが、サービス再開したとたんに、今回の偽装の問題点が発見された。
 認証サービスにより利用者に「安心」を提供するのが、事業の根幹である同社にとって、このような立て続けの問題は、事業そのものをゆるがしかねない。また、利用者にとっても、幅広く利用されている同社のマークの認証があてにならないということは、大きな不安につながりかねない。

セキュリティに関する重要なお知らせ
http://www.verisign.co.jp/press/alert/security_alertert20020307.html
http://www.verisign.co.jp/press/alert/security_alertert20020308.html


>> 安心できるマークはない!?

 先日、オンライントラストマークの問題点が発見されたばかりである。利用者が、信用できる「安心マーク」はないのだろうか?
 また、マークを利用する企業にとっても、普及しているからという理由だけで安易にマークを導入することなく、マーク取得自体にも責任をもって本当に安心できるマークを導入して欲しいものである。
 マークを採用する企業側のチェックにより、マークそのものも見直し、進化してゆくはずである。


関連記事
日本ベリサインのWebに重大な問題が! ファイルが丸見えに(2002.3.7)
https://www.netsecurity.ne.jp/article/1/4266.html
オンライントラストマークがメール送信事故 地に落ちたマークの信頼性
(2002.2.9)
https://www.netsecurity.ne.jp/article/1/3936.html
利用者を危険に誘導する R-MSX サイトだったオンライントラストマーク
(2002.2.9)
https://www.netsecurity.ne.jp/article/1/3935.html


[ Prisoner Langley ]


(詳しくはScan および Scan Daily EXpress 本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
http://shop.vagabond.co.jp/m-sdx01.shtml
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  3. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

    シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. ダークウェブからAIで情報収集(DTRS、IISEC)

  7. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  8. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  9. 学校の自殺予防体制、情報セキュリティ技術活用

  10. IoT製品や組み込み機器などの脆弱性をハッカー視点で診断するラボを開設(PwCサイバーサービス)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×