日本ベリサイン 偽装可能性の残る「Secure Site シール」利用者の啓蒙による自衛強化などによる複合的な対処 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.19(火)

日本ベリサイン 偽装可能性の残る「Secure Site シール」利用者の啓蒙による自衛強化などによる複合的な対処

製品・サービス・業界動向 業界動向

>> 再開された「Secure Site シール」でも偽装を防げない

 3月7日以降、立て続け発見された問題により、断続的にサービスを停止していた日本ベリサインが3月13日に「Secure Site シール」サービスを再開した。

「Secure Site シール」情報提供サービス 再開のお知らせ
http://www.verisign.co.jp/press/alert/security_announce20020313.html

 しかし、開始されたサービスには、いまだ偽装が可能な問題が含まれていた。偽装の方法は、基本的に、前回本誌で報じたものと同じである。

ベリサイン「Secure Site シール」の問題点 プログラムの設計方針に初歩的問題?(2002.3.11)
https://www.netsecurity.ne.jp/article/1/4286.html

偽装用のHTMLコードを用意することによって、偽装が可能となっている。

偽装のサンプル
http://www.vagabond.co.jp/top/image/verisign06.html

 これ以上のサービス停止が許されない、米国本社のサーバとの技術的すり合わせなど、多くの課題を抱えた現場の苦悩を感じさせるサービス再開である。

>>「Secure Site シール」だけではなく、利用者による複合的なチェックが必要

 同社は、この問題が残されていることを認識しているが、利用者に対して啓蒙を行い、偽装を見破るあるいはひとつの表示に頼らず複数の方法で確認してもらうことで対応するとのことである。
 そのために同社では、サービス再開にあたり「インターネット利用者SecureSite シールをウェブサイトに関する情報を得るための手段の一つとして活用することを推奨」とし、「Secure Site シール」以外の情報も同時に確認することを奨めている。つまり、「Secure Site シール」の表示のみで信用するのではなく、複合的に判断を行うように啓蒙している。
 偽装と対処はいたちごっこという側面ももっている。偽装対処を進める一方で、利用者に対して啓蒙と情報提供を行い、偽装の被害を最小限に食い止めることも重要である。この点での同社の努力は評価できる。できることならば、「Secure Site シール」を貼っている企業にも同社から利用者を啓蒙するような文書が提供されることが望ましいと思われる。


>> 世界共通のサービスであることの難しさ?

 「Secure Site シール」のデータベースが米国本社で一元管理されており、日本語表示を行うために、1回米国本社のデータベース処理を行った結果を日本のサーバで日本語に変換して表示する処理が必要になっているのではないかと推定される。
 米国データベースの検索処理をすべて日本語化したプログラムを用意すれば問題ないが、開発効率とプログラムのソースコードのメンテナンスなどを考えると検索処理部分は全世界共通として表示部分のみを切り離して日本語化した方が効率的である。特に同社のように全世界に対して、同じサービス同じデータベースを提供するような会社では、各国ごとに異なる部分は、最小限におさえたいと考えるのはありそうな話しである。

 しかし、プログラムの開発効率とメンテナンス性には、効果があるものの、2つのプログラム間でデータを引き渡すことには、攻撃者のつけいる隙が生まれる可能性がある。特に、2つのCGI間でデータを受け渡すことは、受け渡しデータの偽装やどちらかのCGIの偽者を作っての偽装などが行われる可能性がある。


関連情報
日本ベリサインのWebに重大な問題が! ファイルが丸見えに(2002.3.7)
https://www.netsecurity.ne.jp/article/1/4266.html

日本ベリサインの「SecureSiteシール」サービスが停止(2002.3.9)
https://www.netsecurity.ne.jp/article/1/4280.html

ベリサイン Secure Site に偽装の脆弱性
〜安心のマークが不安のマークに!〜(2002.3.9)
https://www.netsecurity.ne.jp/article/1/4279.html

あれから1週間・・・「Secure Site シール」情報提供サービス再開
(日本ベリサイン)(2002.3.14)
https://www.netsecurity.ne.jp/article/1/4333.html


[ Prisoner Langley ]

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. カスペルスキーに関する一連の報道に対し、代表取締役社長の川合氏が言及

    カスペルスキーに関する一連の報道に対し、代表取締役社長の川合氏が言及

  3. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  4. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  5. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  6. ダークウェブからAIで情報収集(DTRS、IISEC)

  7. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  8. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  9. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  10. 個人・小規模事業者向けの「FFRI yarai」を発売(FFRI)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×