【マンスリーレポート 2002/03】信頼は戻るか!日本ベリサイン「Secure Site シール」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.06.22(金)
コンテンツ
注目検索ワード
記事

【マンスリーレポート 2002/03】信頼は戻るか!日本ベリサイン「Secure Site シール」

製品・サービス・業界動向 業界動向

 3月7日、セキュリティ上の問題のため、大手認証ベンダである日本ベリサイン社の情報提供サービス「Secure Site シール」が一時停止する事態が発生した。
 その後も別のセキュリティ上の問題が発覚するなど、“安心”を証明するはずのマークがまさに“不安”のマークとなる事態となった。結局、「Secure Site シール」が復旧したのは3月13日21時。つまり、約1週間もの間、サービスが停止したことになる。

>> セキュリティ配慮に欠けていたシール

 この問題は、「SecureSite シール」をクリックすると、小さなウィンドウがポップアップしてくるが、サーバに対するID情報の提供を行なう際にある特殊な操作をすると、ある一定以上の権限を持たないと閲覧できないはずのフォルダまで表示されてしまうというもの。
 つまり、ファイルが丸見えになってしまうのだ。この問題に対してベリサインは、迅速に対処し、3月7日の15時1分にサーバを一時停止して修正対応を行った。

>> 次々と問題が発覚

 しかし、3月9日はまた別の問題が発覚する事態が発生した。存在しないWebサイトや日本ベリサインの認証を受けていないサイトでも簡単に、認証を受けたサイトであるかのような“偽装”が可能となっていたのだ。
 これは、「Secure Site シール」の認証情報の表示ステップの過程で、偽装用のHTMLコードを用意することによって、偽装が可能となっていたもの。
 このHTMLコードはプログラムを少し勉強しただけのいわゆる“初心者”でも簡単に作れるようなお粗末なもので、まさに、「安全」を謳うはずの認証サービスではあるまじき失態が続くこととなった。

>> 苦肉の策の改善点

 3月13日21時、日本ベリサインでは、「CGIの問題は完全に解決した」とのことから「Secure Site シール」サービスを開始した。その際、改善点4点を提示、利用者の理解を求めた。改善点は以下の4つ。

1.日時情報のタイムスタンプをSecure Site シール画像に付加する
2.Secure Site シールを日本ベリサインのサーバからホスティングする
3.検索技術を活用することにより、積極的にインターネットを監視し、Secure Siteシールの不正使用を発見する
4.コードサイニング等の技術を使用することにより、情報ページの完全性を強化する

 なお、日本ベリサインでは、「1つのIPアドレスからのアクセスしか確認されず、本問題に起因した顧客情報および機密情報等の重要な情報が外部へ漏洩した形跡はない」としているが、編集部では3人の全く異なるIPアドレスからファイルを閲覧していたことを確認している。日本ベリサインでは、ログによる確認では、アクセス内容について充分な情報を得られていなかったことが推測される。

>> 偽装はいまだ防げず

 CGIの問題は上記で解決したが、開始されたサービスでも、偽装用のHTMLコードを用意することによって、偽装が可能となる問題は解決していない。
 ベリサインでは偽装の問題を認識しそのうえで、「インターネット上で使用される各種トラストマークの完全性は、インターネットおよびHTMLの特性上、一定の限界が存在し、ベリサインのSecure Site シールも例外ではない。インターネット上の画像ファイルは、不法に複製および変更が可能」と説明。

 さらに日本ベリサインでは、「このような限界があることを認識している」とし、利用者に「インターネット利用者Secure Siteシールをウェブサイトに関する情報を得るための手段の一つ」として活用するよう、ひとつの表示に頼らず複数の方法で確認するよう啓蒙している。さらに、利用者自身が、機密情報を送信する前にそのサイトに関する情報を入手しするとともに、そのサイトに関する外部情報も参考にするよう自衛に努めることを推奨している。


【執筆:森山牧子】

詳しくは「Scan Incident Report」本誌をご覧ください。
http://shop.vagabond.co.jp/m-sir01.shtml


▼ウイルスのマンスリーレポートは「Scan Daily Express」に掲載されております。詳しくは下記をご覧ください。
http://shop.vagabond.co.jp/m-sdx01.shtml
▼なお、Scan本誌ではウイルス・インシデント・事後対応のマンスリーレポートすべてをご覧いただけます。
http://shop.vagabond.co.jp/m-ssw01.shtml
今月のタイトル
【日本語環境をターゲットにしたウイルス FBound に被害急増】
【信頼は戻るか!日本ベリサイン「Secure Site シール」】
【インシデント事後対応 ベストは日本ボルチモア ワーストは首相官邸、日本ベリサイン】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

アカウント情報の有効期限が切れたとする、MUFGカードを騙るフィッシング(フィッシング対策協議会) 画像

アカウント情報の有効期限が切れたとする、MUFGカードを騙るフィッシング(フィッシング対策協議会)
Chrome拡張機能「5000兆円コンバーター」にXSSの脆弱性(JVN) 画像

Chrome拡張機能「5000兆円コンバーター」にXSSの脆弱性(JVN)
iOSアプリ「ANA」に通信内容の取得や改ざんなどが行なわれる脆弱性(JVN) 画像

iOSアプリ「ANA」に通信内容の取得や改ざんなどが行なわれる脆弱性(JVN)
80/TCPへのMiraiボットの特徴を持つアクセスの増加を確認(警察庁) 画像

80/TCPへのMiraiボットの特徴を持つアクセスの増加を確認(警察庁)
「BIND 9.x」に意図しないアクセス許可の脆弱性、対応を呼びかけ(JPRS) 画像

「BIND 9.x」に意図しないアクセス許可の脆弱性、対応を呼びかけ(JPRS)
CMS「Zenphoto」に機微な情報の取得や任意コード実行の脆弱性(JVN) 画像

CMS「Zenphoto」に機微な情報の取得や任意コード実行の脆弱性(JVN)

インシデント・事故 記事一覧へ

患者5名の個人情報が記録されたUSBメモリを紛失(小諸高原病院) 画像

患者5名の個人情報が記録されたUSBメモリを紛失(小諸高原病院)
不正アクセスにより退会者を含むホームページの会員情報の一部が流出(東芝産業機器システム) 画像

不正アクセスにより退会者を含むホームページの会員情報の一部が流出(東芝産業機器システム)
申込フォームが公開モード、「第5回しんけんトリニータ東京の陣」参加者個人情報が閲覧可能に(大分フットボールクラブ) 画像

申込フォームが公開モード、「第5回しんけんトリニータ東京の陣」参加者個人情報が閲覧可能に(大分フットボールクラブ)
海外子会社へ不正アクセス、顧客情報流出の可能性(野村ホールディングス) 画像

海外子会社へ不正アクセス、顧客情報流出の可能性(野村ホールディングス)
他の職員のIDでグループウェアへ不正ログイン、減給10分の1の懲戒処分に(多可町) 画像

他の職員のIDでグループウェアへ不正ログイン、減給10分の1の懲戒処分に(多可町)
メール誤送信で188名のアドレスが流出(公正取引委員会) 画像

メール誤送信で188名のアドレスが流出(公正取引委員会)

調査・レポート・白書 記事一覧へ

脆弱性の76%は攻撃者側に先行利益(テナブル) 画像

脆弱性の76%は攻撃者側に先行利益(テナブル)
日本はサイバーセキュリティ戦略の見直し頻度が特に高い--グローバル調査(PwC) 画像

日本はサイバーセキュリティ戦略の見直し頻度が特に高い--グローバル調査(PwC)
2017年の個人情報漏えい調査の速報値を公開、引き続き件数の減少が続く(JNSA) 画像

2017年の個人情報漏えい調査の速報値を公開、引き続き件数の減少が続く(JNSA)
2017年度の国内セキュリティサービス市場は2,750億円、2022年度には4,100億円突破へ(ITR) 画像

2017年度の国内セキュリティサービス市場は2,750億円、2022年度には4,100億円突破へ(ITR)
ランサムウェアは標的を企業に絞る傾向、犯罪者はマイニングに移行か(エフセキュア) 画像

ランサムウェアは標的を企業に絞る傾向、犯罪者はマイニングに移行か(エフセキュア)
セキュリティ対策の必要性、経営者向けに見える化するマニュアル(JNSA) 画像

セキュリティ対策の必要性、経営者向けに見える化するマニュアル(JNSA)

研修・セミナー・カンファレンス 記事一覧へ

電力のセキュリティは国防にも関係 - イスラエル電力公社会長タル元少将講演 画像

電力のセキュリティは国防にも関係 - イスラエル電力公社会長タル元少将講演
参加無料「夏休み親子セキュリティ教室」全国4カ所で開催(トレンドマイクロ) 画像

参加無料「夏休み親子セキュリティ教室」全国4カ所で開催(トレンドマイクロ)
[速報] Interop Tokyo 2018 Best of Show Award セキュリティカテゴリの受賞プロダクト一覧と受賞理由 画像

[速報] Interop Tokyo 2018 Best of Show Award セキュリティカテゴリの受賞プロダクト一覧と受賞理由
多様化する「Web分離」、失敗しない製品選びを専門家が解説 画像

多様化する「Web分離」、失敗しない製品選びを専門家が解説
来週開催 Interop Tokyo 2018 セキュリティ関連講演リスト 画像

来週開催 Interop Tokyo 2018 セキュリティ関連講演リスト
経産・総務各省のサイバーセキュリティ政策、概要や相違 共通点 画像

経産・総務各省のサイバーセキュリティ政策、概要や相違 共通点

製品・サービス・業界動向 記事一覧へ

全国の複数拠点の入退室情報を一元管理できるシステム(アズビル) 画像

全国の複数拠点の入退室情報を一元管理できるシステム(アズビル)
サプライチェーンの物理セキュリティおよび認証取得サービス(セコム) 画像

サプライチェーンの物理セキュリティおよび認証取得サービス(セコム)
3種類のエンジンを搭載する、Windows向け無料セキュリティ対策ソフト(エクサゴン) 画像

3種類のエンジンを搭載する、Windows向け無料セキュリティ対策ソフト(エクサゴン)
デバイス保護の統合ソリューションにWeb分離などの機能を追加(シマンテック) 画像

デバイス保護の統合ソリューションにWeb分離などの機能を追加(シマンテック)
アジア地域のセキュリティリーダー、6名の日本人がISLA賞を受賞((ISC)2) 画像

アジア地域のセキュリティリーダー、6名の日本人がISLA賞を受賞((ISC)2)
2017年度の国内マネージドEDRサービス市場は3.5億円、今後は急速に成長(ITR) 画像

2017年度の国内マネージドEDRサービス市場は3.5億円、今後は急速に成長(ITR)

おしらせ 記事一覧へ

サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像

サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊
[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました 画像

[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました
[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました 画像

[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました
[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ 画像

[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ
[配信予告] 新連載「ペネトレーションテスターは見た!」開始のおしらせ 画像

[配信予告] 新連載「ペネトレーションテスターは見た!」開始のおしらせ
ScanNetSecurity 創刊 18 周年の御礼 画像

ScanNetSecurity 創刊 18 周年の御礼
Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×