日本ベリサイン 信用できない表示のままの「Secure Site シール」 | ScanNetSecurity
2024.03.19(火)

日本ベリサイン 信用できない表示のままの「Secure Site シール」

 〜利用者の啓蒙による自衛強化などによる複合的な対処が必須〜

製品・サービス・業界動向 業界動向
 〜利用者の啓蒙による自衛強化などによる複合的な対処が必須〜

>> 再開された「Secure Site シール」でも偽装を防げない

 3月7日以降、立て続け発見された問題により、断続的にサービスを停止していた日本ベリサインが3月13日に「Secure Site シール」サービスを再開した。

「Secure Site シール」情報提供サービス 再開のお知らせ
http://www.verisign.co.jp/press/alert/security_announce20020313.html

 しかし、開始されたサービスには、いまだ偽装が可能な問題が含まれていた。偽装の方法は、基本的に、前回本誌で報じたものと同じである。

ベリサイン「Secure Site シール」の問題点 プログラムの設計方針に初歩的問題?(2002.3.11)
https://www.netsecurity.ne.jp/article/1/4286.html

偽装用のHTMLコードを用意することによって、偽装が可能となっている。

偽装のサンプル
http://www.vagabond.co.jp/top/image/verisign06.html

 これ以上のサービス停止が許されない、米国本社のサーバとの技術的すり合わせなど、多くの課題を抱えた現場の苦悩を感じさせるサービス再開である。
 とはいえ「Secure Site シール」の表示が偽装可能であり、信用できないままであることに変わりはない。


>>信用できない表示となった「Secure Site シール」 自衛を奨めるベリサイン

 同社は、この問題が残されていることを認識しているが、利用者に対して啓蒙を行い、偽装を見破るあるいはひとつの表示に頼らず複数の方法で確認してもらうことで対応するとのことである。
 そのために同社では、サービス再開にあたり「インターネット利用者Secure Site シールをウェブサイトに関する情報を得るための手段の一つとして活用することを推奨」とし、「Secure Site シール」以外の情報も同時に確認することを奨めている。つまり、「Secure Site シール」の表示のみで信用するのではなく、複合的に判断を行うように啓蒙している。
 偽装と対処はいたちごっこという側面ももっている。偽装対処を進める一方で、利用者に対して啓蒙と情報提供を行い、偽装の被害を最小限に食い止めることも重要である。
 できることならば、「Secure Site シール」を貼っている企業にも同社から利用者を啓蒙するような文書が提供されることが望ましいと思われる。
 いっそのこと、「Secure Site シール」をクリックすると表示する認証サービスそのものをやめる、米国本社に直接飛ばして英語表示するといった方が、偽装されるよりは、まだよいのではないだろうか?


>> 米国サーバとのやりとりで開発とメンテを優先し、セキュリティが甘かった?

 「Secure Site シール」のデータベースが米国本社で一元管理されており、日本語表示を行うために、1回米国本社のデータベース処理を行った結果を日本のサーバで日本語に変換して表示する処理が必要になっているのではないかと推定される。
 米国データベースの検索処理をすべて日本語化したプログラムを用意すれば問題ないが、開発効率とプログラムのソースコードのメンテナンスなどを考えると検索処理部分は全世界共通として表示部分のみを切り離して日本語化した方が効率的である。特に同社のように全世界に対して、同じサービス同じデータベースを提供するような会社では、各国ごとに異なる部分は、最小限におさえたいと考えるのはありそうな話しである。

 しかし、プログラムの開発効率とメンテナンス性には、効果があるものの、2つのプログラム間でデータを引き渡すことには、攻撃者のつけいる隙が生まれる可能性がある。特に、2つのCGI間でデータを受け渡すことは、受け渡しデータの偽装やどちらかのCGIの偽者を作っての偽装などが行われる可能性がある。


関連情報
日本ベリサインのWebに重大な問題が! ファイルが丸見えに(2002.3.7)
https://www.netsecurity.ne.jp/article/1/4266.html

日本ベリサインの「SecureSiteシール」サービスが停止(2002.3.9)
https://www.netsecurity.ne.jp/article/1/4280.html

ベリサイン Secure Site に偽装の脆弱性
〜安心のマークが不安のマークに!〜(2002.3.9)
https://www.netsecurity.ne.jp/article/1/4279.html

あれから1週間・・・「Secure Site シール」情報提供サービス再開
(日本ベリサイン)(2002.3.14)
https://www.netsecurity.ne.jp/article/1/4333.html


[ Prisoner Langley ]

(詳しくはScan および Scan Daily EXpress 本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
http://shop.vagabond.co.jp/m-sdx01.shtml

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×