エコポイントのサイトのセキュリティが【最悪】な件
- カテゴリ:パソコン/インターネット
- 2009/09/09 00:30:28
注意:Web 技術に明るい方は高木さんのブログエントリをご覧下さい。
僕は概説しかしません。
先月、僕はテレビを買いました。別にエコポイント目当てだったわけではなく、単にその日限りでお店のポイント還元率が高く、その上、録画用ハードディスク 500GB をタダでもらえるという事で買うのを決心したのです。エコポイントのことはそんなに関心がなかったので、すっかり忘れていました。
グリーン家電普及促進事業 エコポイント
http://eco-points.jp/
産業技術総合研究所情報セキュリティ研究センター主任研究員・高木浩光さんのブログを僕はたまに読ませていただいているのですが、高木さんがエコポイントのサイトについて「これはまずい」と評されているのを読んで、僕も今日初めてサイトを訪れてみました。国の事業なのに・・・あきれました。
高木浩光@自宅の日記 - エコポイント申請画面が共用SSLサイト上にある件
http://takagi-hiromitsu.jp/diary/20090826.html
Web 技術に詳しい方は上の高木さんのエントリを読んでいただいた方が良いでしょう。以下は簡単な説明と、問題点です。まあ色々問題があるんですが。
まず、「SSL」とはなんでしょうか。例えばショッピングサイトで住所やクレジットカード情報を入力するとき、Intenet Explorer や Safari ではカギマーク、Firefox ではアドレス欄の左側が青色(または緑)になるかと思います。これはブラウザとショッピングサイトのサーバの間で暗号化通信が成立している印です。「https」とアドレスの先頭は表示されます。
SSL には2つの役割があります (例外についてはここでは触れません)
1.ブラウザとサーバの間の通信を暗号化する
2.サーバが正当なものだと証明する
1は当然、ショッピングサイトでは必要な機能ですよね。では2はどうでしょうか。例えばこのニコッとタウンも、ログインの時に SSL (https) が選べるようになっています。ログインするときに一瞬だけ表示されるカギマークをクリックすると、証明書の詳細を見ることが出来ます。
ニコッとタウンの場合には「www.nicotto.jp」に対して上位の証明書発行機関が「本物ですよ」と証明している情報が記載されています。よって、入力された情報は「ニコッとタウンにきちんと送られている」という証明になるわけです。
SSL はこの2つの役割が成立することで成り立っています。ではエコポイントのサイトはどうでしょうか。
「eco-points.jp」にアクセスしていたはずなのに、登録のページに入ると「force.com」という別のサイトの表示になっています。これでは自分が入力している情報が「eco-points.jp」に送られているのかわかりません。よって、2の「証明書」の機能が成り立たないのです。
海外では、この手のフィッシングサイトはすでに発生しています。だから、証明書の内容をチェックすることは大事なことなのです。
エコポイントは「国の事業」です。たしかに、ページの下の方には環境省、経済産業省、総務省とバナーが張られていますが、そんなものコピーしてくれば真似など簡単です。海外で銀行のサイトに偽装したページなどは本物そっくりだったそうです。
景気対策で慌てて始めたエコポイント。お粗末きわまりないです。そして、高木さんが指摘されていますが、こういったサイトの利用が当たり前のようになってしまうと、今後、日本で高度なフィッシングサイトが現れたとき、簡単に引っかかってしまう可能性があるわけです。本当に、日本のお役所には失望しました。今、この件については経済産業省に問い合わせ中です。
ということで、SSL の証明書の内容はチェックする習慣をつけた方が良いですよ、マジで。
2.サーバが正当なものだと証明する
1は当然、ショッピングサイトでは必要な機能ですよね。では2はどうでしょうか。例えばこのニコッとタウンも、ログインの時に SSL (https) が選べるようになっています。ログインするときに一瞬だけ表示されるカギマークをクリックすると、証明書の詳細を見ることが出来ます。
ニコッとタウンの場合には「www.nicotto.jp」に対して上位の証明書発行機関が「本物ですよ」と証明している情報が記載されています。よって、入力された情報は「ニコッとタウンにきちんと送られている」という証明になるわけです。
SSL はこの2つの役割が成立することで成り立っています。ではエコポイントのサイトはどうでしょうか。
「eco-points.jp」にアクセスしていたはずなのに、登録のページに入ると「force.com」という別のサイトの表示になっています。これでは自分が入力している情報が「eco-points.jp」に送られているのかわかりません。よって、2の「証明書」の機能が成り立たないのです。
海外では、この手のフィッシングサイトはすでに発生しています。だから、証明書の内容をチェックすることは大事なことなのです。
エコポイントは「国の事業」です。たしかに、ページの下の方には環境省、経済産業省、総務省とバナーが張られていますが、そんなものコピーしてくれば真似など簡単です。海外で銀行のサイトに偽装したページなどは本物そっくりだったそうです。
景気対策で慌てて始めたエコポイント。お粗末きわまりないです。そして、高木さんが指摘されていますが、こういったサイトの利用が当たり前のようになってしまうと、今後、日本で高度なフィッシングサイトが現れたとき、簡単に引っかかってしまう可能性があるわけです。本当に、日本のお役所には失望しました。今、この件については経済産業省に問い合わせ中です。
ということで、SSL の証明書の内容はチェックする習慣をつけた方が良いですよ、マジで。
すみません、せっかくコメントをいただいていたのに、放置してしまって。
何か分からないことがありましたら、コメントいただければ幸いです。
見たことない人の方が多いと思いますよ。でも確実に驚異は日本国内でも
広がっています。最近では「ブラウザ・ジャック」という手法も広がってる
ようです。だから、気をつけるに越したことはないですねぇ。
ネットでモノを買ったのは 10回もありませが・・
代引きでしか買わないけど
今からは色々注意します。
最近はさらにわかりやすい、EV SSL というのが登場しています。対応している
ブラウザで、表示すると会社名が緑色で表示される仕組みになっています。
Apple Store や三菱東京UFJ銀行で利用されていますよ (・∀・)
でも、基本的には自分がアクセスしているサイトと運営者が異なっていないか
確認するのは同じなので、EV SSL だから安心というわけでもないのです。
>>ロリーさん
ありがとうございます。SSL 自体、お金がかかるので安く済ませようとすると、
怪しいサイトが出来上がったりするんですよね・・・。
内閣府では政府に関係するサイトは『.go.jp』にする、と決めているのに、この
体たらくですから本当にしょうがないですねぇ。ちなみに某県のメールフォームの
SSL は、一般に「オレオレ証明書」と言われているヤツでした。
「オレオレ証明書」は簡単に説明すれば「自分で免許証を勝手に作りました」と
いったところでしょうか。げんなりですよ・・・(-∀-;)
前にそういうサイトがありました。購入は結局しませんでしたが。
証明書は今見てみました。
うーん、役所の人って無知だから。
もし発注先のいいようにサイトを作ったとしたら、そこにフィッシングサイトを
作ってしまう可能性もあるということですよね。
危ない危ない ヽ(`Д´)ノ
ネット上でお買い物する機会がいい人は特に注意しないといけないですね。
でも今まで証明書の内容まで確認ちゃんとしたことなかったかも…Σ(゚д゚;)ガーン