【マンスリーレポート 2002/03】信頼は戻るか!日本ベリサイン「Secure Site シール」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.09.26(水)
コンテンツ
注目検索ワード
ホーム 製品・サービス・業界動向 業界動向 記事

【マンスリーレポート 2002/03】信頼は戻るか!日本ベリサイン「Secure Site シール」

 3月7日、セキュリティ上の問題のため、大手認証ベンダである日本ベリサイン社の情報提供サービス「Secure Site シール」が一時停止する事態が発生した。  その後も別のセキュリティ上の問題が発覚するなど、“安心”を証明するはずのマークがまさに“不安”のマークと

製品・サービス・業界動向 業界動向
 3月7日、セキュリティ上の問題のため、大手認証ベンダである日本ベリサイン社の情報提供サービス「Secure Site シール」が一時停止する事態が発生した。
 その後も別のセキュリティ上の問題が発覚するなど、“安心”を証明するはずのマークがまさに“不安”のマークとなる事態となった。結局、「Secure Site シール」が復旧したのは3月13日21時。つまり、約1週間もの間、サービスが停止したことになる。

>> セキュリティ配慮に欠けていたシール

 この問題は、「SecureSite シール」をクリックすると、小さなウィンドウがポップアップしてくるが、サーバに対するID情報の提供を行なう際にある特殊な操作をすると、ある一定以上の権限を持たないと閲覧できないはずのフォルダまで表示されてしまうというもの。
 つまり、ファイルが丸見えになってしまうのだ。この問題に対してベリサインは、迅速に対処し、3月7日の15時1分にサーバを一時停止して修正対応を行った。

>> 次々と問題が発覚

 しかし、3月9日はまた別の問題が発覚する事態が発生した。存在しないWebサイトや日本ベリサインの認証を受けていないサイトでも簡単に、認証を受けたサイトであるかのような“偽装”が可能となっていたのだ。
 これは、「Secure Site シール」の認証情報の表示ステップの過程で、偽装用のHTMLコードを用意することによって、偽装が可能となっていたもの。
 このHTMLコードはプログラムを少し勉強しただけのいわゆる“初心者”でも簡単に作れるようなお粗末なもので、まさに、「安全」を謳うはずの認証サービスではあるまじき失態が続くこととなった。

>> 苦肉の策の改善点

 3月13日21時、日本ベリサインでは、「CGIの問題は完全に解決した」とのことから「Secure Site シール」サービスを開始した。その際、改善点4点を提示、利用者の理解を求めた。改善点は以下の4つ。

1.日時情報のタイムスタンプをSecure Site シール画像に付加する
2.Secure Site シールを日本ベリサインのサーバからホスティングする
3.検索技術を活用することにより、積極的にインターネットを監視し、Secure Siteシールの不正使用を発見する
4.コードサイニング等の技術を使用することにより、情報ページの完全性を強化する

 なお、日本ベリサインでは、「1つのIPアドレスからのアクセスしか確認されず、本問題に起因した顧客情報および機密情報等の重要な情報が外部へ漏洩した形跡はない」としているが、編集部では3人の全く異なるIPアドレスからファイルを閲覧していたことを確認している。日本ベリサインでは、ログによる確認では、アクセス内容について充分な情報を得られていなかったことが推測される。

>> 偽装はいまだ防げず

 CGIの問題は上記で解決したが、開始されたサービスでも、偽装用のHTMLコードを用意することによって、偽装が可能となる問題は解決していない。
 ベリサインでは偽装の問題を認識しそのうえで、「インターネット上で使用される各種トラストマークの完全性は、インターネットおよびHTMLの特性上、一定の限界が存在し、ベリサインのSecure Site シールも例外ではない。インターネット上の画像ファイルは、不法に複製および変更が可能」と説明。

 さらに日本ベリサインでは、「このような限界があることを認識している」とし、利用者に「インターネット利用者Secure Siteシールをウェブサイトに関する情報を得るための手段の一つ」として活用するよう、ひとつの表示に頼らず複数の方法で確認するよう啓蒙している。さらに、利用者自身が、機密情報を送信する前にそのサイトに関する情報を入手しするとともに、そのサイトに関する外部情報も参考にするよう自衛に努めることを推奨している。


【執筆:森山牧子】

詳しくは「Scan Incident Report」本誌をご覧ください。
http://shop.vagabond.co.jp/m-sir01.shtml


▼ウイルスのマンスリーレポートは「Scan Daily Express」に掲載されております。詳しくは下記をご覧ください。
http://shop.vagabond.co.jp/m-sdx01.shtml
▼なお、Scan本誌ではウイルス・インシデント・事後対応のマンスリーレポートすべてをご覧いただけます。
http://shop.vagabond.co.jp/m-ssw01.shtml
今月のタイトル
【日本語環境をターゲットにしたウイルス FBound に被害急増】
【信頼は戻るか!日本ベリサイン「Secure Site シール」】
【インシデント事後対応 ベストは日本ボルチモア ワーストは首相官邸、日本ベリサイン】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Apache Struts において namespace の値検証不備により任意のコードが実行可能となる脆弱性(Scan Tech Report) 画像

Apache Struts において namespace の値検証不備により任意のコードが実行可能となる脆弱性(Scan Tech Report)
Appleが「macOS」のセキュリティアップデートを公開(JVN) 画像

Appleが「macOS」のセキュリティアップデートを公開(JVN)
販売終了の「Hitachi Infrastructure Analytics Advisor」に複数の脆弱性(HIRT) 画像

販売終了の「Hitachi Infrastructure Analytics Advisor」に複数の脆弱性(HIRT)
「Adobe Reader」「Acrobat」に「攻撃リスクの高い」脆弱性(JPCERT/CC、IPA) 画像

「Adobe Reader」「Acrobat」に「攻撃リスクの高い」脆弱性(JPCERT/CC、IPA)
BIND 9.xに、マニュアルの記述と実際の動作の不一致による脆弱性(JPRS、JVN) 画像

BIND 9.xに、マニュアルの記述と実際の動作の不一致による脆弱性(JPRS、JVN)
仮想通貨を要求する日本語の脅迫メール確認(JPCERT/CC) 画像

仮想通貨を要求する日本語の脅迫メール確認(JPCERT/CC)

インシデント・事故 記事一覧へ

スマホゲーム「宮廷女官」に不正アクセス(宮廷女官運営チーム) 画像

スマホゲーム「宮廷女官」に不正アクセス(宮廷女官運営チーム)
「ONE PIECE」をPerfectDarkにアップロードし、逮捕(ACCS) 画像

「ONE PIECE」をPerfectDarkにアップロードし、逮捕(ACCS)
仮想通貨取引所Zaifへの不正アクセスで約67億円相当が外部に流出(テックビューロ) 画像

仮想通貨取引所Zaifへの不正アクセスで約67億円相当が外部に流出(テックビューロ)
約50名分の顧客情報記載書類紛失(北海道銀行) 画像

約50名分の顧客情報記載書類紛失(北海道銀行)
受信契約者の個人情報が含まれる帳票を紛失(NHK) 画像

受信契約者の個人情報が含まれる帳票を紛失(NHK)
リスト攻撃と推測される不正ログインでワオンポイントが別のカードに移行される被害(イオンマーケティング) 画像

リスト攻撃と推測される不正ログインでワオンポイントが別のカードに移行される被害(イオンマーケティング)

調査・レポート・白書 記事一覧へ

威力を増すマイニングマルウェア4割以上が被害、全下半期2倍に(チェック・ポイント) 画像

威力を増すマイニングマルウェア4割以上が被害、全下半期2倍に(チェック・ポイント)
パスワードや認証情報を狙う脅威が多発--四半期レポート(ウォッチガード) 画像

パスワードや認証情報を狙う脅威が多発--四半期レポート(ウォッチガード)
IoTセキュリティ研究に焦点を当てた「CYBER GRID JOURNAL」(ラック) 画像

IoTセキュリティ研究に焦点を当てた「CYBER GRID JOURNAL」(ラック)
世界の子供の夏休みオンライン活動、統計データ(カスペルスキー) 画像

世界の子供の夏休みオンライン活動、統計データ(カスペルスキー)
拡張子「.iqy」のファイルが添付されたマルウェアメールが増加(IIJ) 画像

拡張子「.iqy」のファイルが添付されたマルウェアメールが増加(IIJ)
フィッシング詐欺が過去最大、法人を狙うケースも(トレンドマイクロ) 画像

フィッシング詐欺が過去最大、法人を狙うケースも(トレンドマイクロ)

研修・セミナー・カンファレンス 記事一覧へ

MAC アドレス認証 これだけ危険 ~ Wi-Fi セキュリティ対策の誤解 画像

MAC アドレス認証 これだけ危険 ~ Wi-Fi セキュリティ対策の誤解
基調講演はミッコ・ヒッポネン「サイバー軍拡戦争」、CODE BLUE 2018 全 42 講演決定(BLUE) 画像

基調講演はミッコ・ヒッポネン「サイバー軍拡戦争」、CODE BLUE 2018 全 42 講演決定(BLUE)
夢は Black Hat USA で講演 ~ キヤノンITS マルウェアラボ潜入記、設立目的と体制 画像

夢は Black Hat USA で講演 ~ キヤノンITS マルウェアラボ潜入記、設立目的と体制
サンドボックスと張り合うメールセキュリティ製品、大企業や金融に導入進む 画像

サンドボックスと張り合うメールセキュリティ製品、大企業や金融に導入進む
“衛る” を最大化するセキュリティ競技 Hardening Project ~ 組織力を問う新ルールで初の宮古島開催 画像

“衛る” を最大化するセキュリティ競技 Hardening Project ~ 組織力を問う新ルールで初の宮古島開催
つながる世界の安全をテーマに「Trend Micro DIRECTION」東京・大阪で開催(トレンドマイクロ) 画像

つながる世界の安全をテーマに「Trend Micro DIRECTION」東京・大阪で開催(トレンドマイクロ)

製品・サービス・業界動向 記事一覧へ

「日本のハッカーが活躍できる社会」を目指し設立(日本ハッカー協会) 画像

「日本のハッカーが活躍できる社会」を目指し設立(日本ハッカー協会)
ブロックチェーン技術を生かしたデジタルIDサービスの試行を開始(ジェムアルト) 画像

ブロックチェーン技術を生かしたデジタルIDサービスの試行を開始(ジェムアルト)
ID・パスワードをモバイル端末の生体認証機能に置き換える認証サービス(凸版印刷) 画像

ID・パスワードをモバイル端末の生体認証機能に置き換える認証サービス(凸版印刷)
サイバーインテリジェンス、サービスの実力と利用料金 画像

サイバーインテリジェンス、サービスの実力と利用料金
「Falconプラットフォーム」刷新、Linux対応や認定トレーニングプログラム開始(CrowdStrike) 画像

「Falconプラットフォーム」刷新、Linux対応や認定トレーニングプログラム開始(CrowdStrike)
新宿区がシングルベンダによる多層防御を構築(トレンドマイクロ) 画像

新宿区がシングルベンダによる多層防御を構築(トレンドマイクロ)

おしらせ 記事一覧へ

編集部海外取材お土産 < 応募締切 9/30 > 画像

編集部海外取材お土産 < 応募締切 9/30 >
[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました 画像

[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました
[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像

[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊
[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました 画像

[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました
[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました 画像

[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました
[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ 画像

[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ
Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×