【マンスリーレポート 2002/03】信頼は戻るか!日本ベリサイン「Secure Site シール」 | ScanNetSecurity
2023.02.03(金)
コンテンツ
注目検索ワード
ホーム 製品・サービス・業界動向 業界動向 記事

【マンスリーレポート 2002/03】信頼は戻るか!日本ベリサイン「Secure Site シール」

 3月7日、セキュリティ上の問題のため、大手認証ベンダである日本ベリサイン社の情報提供サービス「Secure Site シール」が一時停止する事態が発生した。  その後も別のセキュリティ上の問題が発覚するなど、“安心”を証明するはずのマークがまさに“不安”のマークと

製品・サービス・業界動向 業界動向
 3月7日、セキュリティ上の問題のため、大手認証ベンダである日本ベリサイン社の情報提供サービス「Secure Site シール」が一時停止する事態が発生した。
 その後も別のセキュリティ上の問題が発覚するなど、“安心”を証明するはずのマークがまさに“不安”のマークとなる事態となった。結局、「Secure Site シール」が復旧したのは3月13日21時。つまり、約1週間もの間、サービスが停止したことになる。

>> セキュリティ配慮に欠けていたシール

 この問題は、「SecureSite シール」をクリックすると、小さなウィンドウがポップアップしてくるが、サーバに対するID情報の提供を行なう際にある特殊な操作をすると、ある一定以上の権限を持たないと閲覧できないはずのフォルダまで表示されてしまうというもの。
 つまり、ファイルが丸見えになってしまうのだ。この問題に対してベリサインは、迅速に対処し、3月7日の15時1分にサーバを一時停止して修正対応を行った。

>> 次々と問題が発覚

 しかし、3月9日はまた別の問題が発覚する事態が発生した。存在しないWebサイトや日本ベリサインの認証を受けていないサイトでも簡単に、認証を受けたサイトであるかのような“偽装”が可能となっていたのだ。
 これは、「Secure Site シール」の認証情報の表示ステップの過程で、偽装用のHTMLコードを用意することによって、偽装が可能となっていたもの。
 このHTMLコードはプログラムを少し勉強しただけのいわゆる“初心者”でも簡単に作れるようなお粗末なもので、まさに、「安全」を謳うはずの認証サービスではあるまじき失態が続くこととなった。

>> 苦肉の策の改善点

 3月13日21時、日本ベリサインでは、「CGIの問題は完全に解決した」とのことから「Secure Site シール」サービスを開始した。その際、改善点4点を提示、利用者の理解を求めた。改善点は以下の4つ。

1.日時情報のタイムスタンプをSecure Site シール画像に付加する
2.Secure Site シールを日本ベリサインのサーバからホスティングする
3.検索技術を活用することにより、積極的にインターネットを監視し、Secure Siteシールの不正使用を発見する
4.コードサイニング等の技術を使用することにより、情報ページの完全性を強化する

 なお、日本ベリサインでは、「1つのIPアドレスからのアクセスしか確認されず、本問題に起因した顧客情報および機密情報等の重要な情報が外部へ漏洩した形跡はない」としているが、編集部では3人の全く異なるIPアドレスからファイルを閲覧していたことを確認している。日本ベリサインでは、ログによる確認では、アクセス内容について充分な情報を得られていなかったことが推測される。

>> 偽装はいまだ防げず

 CGIの問題は上記で解決したが、開始されたサービスでも、偽装用のHTMLコードを用意することによって、偽装が可能となる問題は解決していない。
 ベリサインでは偽装の問題を認識しそのうえで、「インターネット上で使用される各種トラストマークの完全性は、インターネットおよびHTMLの特性上、一定の限界が存在し、ベリサインのSecure Site シールも例外ではない。インターネット上の画像ファイルは、不法に複製および変更が可能」と説明。

 さらに日本ベリサインでは、「このような限界があることを認識している」とし、利用者に「インターネット利用者Secure Siteシールをウェブサイトに関する情報を得るための手段の一つ」として活用するよう、ひとつの表示に頼らず複数の方法で確認するよう啓蒙している。さらに、利用者自身が、機密情報を送信する前にそのサイトに関する情報を入手しするとともに、そのサイトに関する外部情報も参考にするよう自衛に努めることを推奨している。


【執筆:森山牧子】

詳しくは「Scan Incident Report」本誌をご覧ください。
http://shop.vagabond.co.jp/m-sir01.shtml


▼ウイルスのマンスリーレポートは「Scan Daily Express」に掲載されております。詳しくは下記をご覧ください。
http://shop.vagabond.co.jp/m-sdx01.shtml
▼なお、Scan本誌ではウイルス・インシデント・事後対応のマンスリーレポートすべてをご覧いただけます。
http://shop.vagabond.co.jp/m-ssw01.shtml
今月のタイトル
【日本語環境をターゲットにしたウイルス FBound に被害急増】
【信頼は戻るか!日本ベリサイン「Secure Site シール」】
【インシデント事後対応 ベストは日本ボルチモア ワーストは首相官邸、日本ベリサイン】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

富士フイルムビジネスイノベーション製のドライバー配布ツールに脆弱性 画像

富士フイルムビジネスイノベーション製のドライバー配布ツールに脆弱性
Androidアプリ「スシロー」に情報漏えいの脆弱性 画像

Androidアプリ「スシロー」に情報漏えいの脆弱性
Proofpoint Blog 第21回「夢は(オマエの財布から)ガッポリ、北朝鮮の“スタートアップ”APT「TA444」とは?」 画像

Proofpoint Blog 第21回「夢は(オマエの財布から)ガッポリ、北朝鮮の“スタートアップ”APT「TA444」とは?」
ISC BINDに複数の脆弱性 画像

ISC BINDに複数の脆弱性
pgAdmin 4 にディレクトリトラバーサルの脆弱性 画像

pgAdmin 4 にディレクトリトラバーサルの脆弱性
EasyMail にXSSの脆弱性 画像

EasyMail にXSSの脆弱性

インシデント・事故 記事一覧へ

フルノシステムズへのSQLインジェクション攻撃、問合せ入力フォームに入力された10年分のメールアドレスが流出 画像

フルノシステムズへのSQLインジェクション攻撃、問合せ入力フォームに入力された10年分のメールアドレスが流出
病院内の音声をスマホアプリで配信、懲戒処分を行うも同日中に依願退職 画像

病院内の音声をスマホアプリで配信、懲戒処分を行うも同日中に依願退職
ショーケース社への不正アクセス、「CHARLE WEB STORE」でもカード情報が漏えい 画像

ショーケース社への不正アクセス、「CHARLE WEB STORE」でもカード情報が漏えい
カジュアルファッション取り扱いアダストリアのサーバへ不正アクセス、100万件の個人情報が流出した可能性 画像

カジュアルファッション取り扱いアダストリアのサーバへ不正アクセス、100万件の個人情報が流出した可能性
「謎解き宝探し in 守口市」アンケートフォームで個人情報が閲覧可能に 画像

「謎解き宝探し in 守口市」アンケートフォームで個人情報が閲覧可能に
複数の条件満たすことでDBへの侵入許す恐れ、フォレンジック調査の結果を公表 画像

複数の条件満たすことでDBへの侵入許す恐れ、フォレンジック調査の結果を公表

調査・レポート・白書・ガイドライン 記事一覧へ

タイやフィリピンより低い日本のDMARC導入率 ~ ようやく経産省がクレカ各社へ導入求める方針 画像

タイやフィリピンより低い日本のDMARC導入率 ~ ようやく経産省がクレカ各社へ導入求める方針
IPA 警察庁 ENISA FBI ・・・、自社に合ったセキュリティレポートとは? 画像

IPA 警察庁 ENISA FBI ・・・、自社に合ったセキュリティレポートとは?
DX推進 重視する人材「情報セキュリティ担当」最多47.9% 画像

DX推進 重視する人材「情報セキュリティ担当」最多47.9%
顔ぶれは去年と9割一緒、IPA「情報セキュリティ10大脅威 2023」 画像

顔ぶれは去年と9割一緒、IPA「情報セキュリティ10大脅威 2023」
2年連続記録更新、2022年の上場企業の情報漏えい ~ 東京商工リサーチ調査 画像

2年連続記録更新、2022年の上場企業の情報漏えい ~ 東京商工リサーチ調査
2022年4Q「JVN iPedia」登録状況、XMP Toolkit SDK における古典的バッファオーバーフロー脆弱性 他 画像

2022年4Q「JVN iPedia」登録状況、XMP Toolkit SDK における古典的バッファオーバーフロー脆弱性 他

研修・セミナー・カンファレンス 記事一覧へ

警察庁・総務省、フィッシングや迷惑メール対策で重要な役割を果たす「官」の役割、具体的な取り組みとは? ~ JPAAWG 5th General Meetingレポート - 2 画像

警察庁・総務省、フィッシングや迷惑メール対策で重要な役割を果たす「官」の役割、具体的な取り組みとは? ~ JPAAWG 5th General Meetingレポート - 2
群馬県高崎市で「サイバーインシデント演習 in 関東」2/14 開催、講師 川口設計 川口氏 画像

群馬県高崎市で「サイバーインシデント演習 in 関東」2/14 開催、講師 川口設計 川口氏
全国の情シス50人に聞いた365の弊害や問題点、好評セミナーをオンデマンド配信 画像

全国の情シス50人に聞いた365の弊害や問題点、好評セミナーをオンデマンド配信
CSIJ 公開シンポジウム 1/24 開催、GSX CCO 武藤氏ほか講演 画像

CSIJ 公開シンポジウム 1/24 開催、GSX CCO 武藤氏ほか講演
ヤフーとドコモ、「偽メールを止める」と「正しいメールを正しく認知してもらう」の両立を図るための、DMARC、BIMI、そして独自の取り組み ~ JPAAWG 5th General Meetingレポート - 1 画像

ヤフーとドコモ、「偽メールを止める」と「正しいメールを正しく認知してもらう」の両立を図るための、DMARC、BIMI、そして独自の取り組み ~ JPAAWG 5th General Meetingレポート - 1
1/24 第92回CSA勉強会「SMBCグループのクラウド活用におけるCCoEの役割とセキュリティ管理・統制」 画像

1/24 第92回CSA勉強会「SMBCグループのクラウド活用におけるCCoEの役割とセキュリティ管理・統制」

製品・サービス・業界動向 記事一覧へ

Twitterでのスパムや嫌がらせ、アカウント凍結を減らしシャドウバンを増やす方針 画像

Twitterでのスパムや嫌がらせ、アカウント凍結を減らしシャドウバンを増やす方針
「FF14」高難度コンテンツで禁じられた外部ツール使用、非公開配信していた映像が不正アクセスで流出し発覚 画像

「FF14」高難度コンテンツで禁じられた外部ツール使用、非公開配信していた映像が不正アクセスで流出し発覚
ユービーセキュア・NRIセキュア・GSXの3社でクラウド型Webアプリケーション診断ツールを開発 画像

ユービーセキュア・NRIセキュア・GSXの3社でクラウド型Webアプリケーション診断ツールを開発
「Apex Legends」高ランク帯のマッチ向けにDDoS攻撃からの保護機能を実装 画像

「Apex Legends」高ランク帯のマッチ向けにDDoS攻撃からの保護機能を実装
LogStare 、AWS CloudTrailに特化したログ分析・アラートテンプレートを搭載 画像

LogStare 、AWS CloudTrailに特化したログ分析・アラートテンプレートを搭載
2022年JNSA表彰、HardeningやGMOイエラエ阿部氏ほか受賞 画像

2022年JNSA表彰、HardeningやGMOイエラエ阿部氏ほか受賞

おしらせ 記事一覧へ

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Scan PREMIUM 創刊24周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊24周年記念キャンペーン実施中
ScanNetSecurity 創刊24周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊24周年御礼の辞(上野宣)
【当選確率3倍】2022年 CrowdStrike カレンダープレゼント 画像

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント
創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×