これまでは「信頼された認証局から発行されたサーバー証明書を備えているサイトは信頼に足るサイトである」と考えて良かったのだが、これからはそうも言えなくなってきたという話だ。
そもそもが「企業の身元を証明しない限り正規のサーバー証明書を取得する事はできない」という前提から、犯罪者がわざわざ身元を明かすリスクを犯してまでサーバ証明書を取得する事はあり得ないと考えるのが定説だったのだが、最近は電子メールのやり取りだけでサーバー証明書を取得できるサービスが登場しているらしい。
確かに言われてみれば![[External]](/~yano/parts/extlink.png)
QuickSSL™とかは「オンライン確認で24時間発行」を謳っているなぁ。というわけで、先の前提がすでに崩壊しつつあるというのが現実なんだそうだ。
もちろん、だからと言って犯罪者が visa.com や visa.co.jp のサーバ証明書を取得する事はできないので、SSLサーバー証明書という仕組みそのものが崩壊するわけではない。visa-japan.com や visa-nippon.com というように類似ドメインを取得してサーバ証明書を備える事によって、それらが「いかにもvisaの日本法人のサイト」であるかのように思わせる事ができるという事だ。
企業側で考えうる対策としては、正規のサイトのドメイン名(URL)を憶えやすい一つに集約し、すべてのコンテンツをそのドメイン配下に束ねる事が望ましい。例えば、メインサイトが abc-ginko.co.jp で、オンラインバンキングが abc-direct.co.jp と分けているパターンは珍しくないが、abc-bank.com という偽装サイトに対するユーザーの警戒心を悪戯に下げてしまう恐れがある。全てのコンテンツを abc-ginko.co.jp に集約する事で、abc-ginko.co.jp 以外に飛ばされた時は偽装サイトである事を暗示させ、ユーザーを無用なリスクから守るべきだ。
このあたりは(旧)西日本銀行のオンラインバンキングが、アウトソース先である「日立インターネットバンキングセンタ」のURL ib-center.gr.jp になっているのがいい例だ。業界人としてアウトソーシングを否定するつもりは毛頭無い(笑)し、サーバー証明書から当該サイトが「日立なんちゃら」である事は信頼してよいと思うが、それ以前に(旧)西日本銀行と日立インターネットバンキングセンタの業務依託契約について何も知らされない状態で、「日立なんちゃら」の制服・バッチを着用した職員が「銀行でござい~、集金に参りました~」と言ってきてもいいのか?という事だ。制服を着た行員や契約社員でもアテにならんっちゃそれまでだが、見知らぬ人に大事なお金を預ける勇気は無い。
数年前にメールしたんだけど、こっちから催促するまで一月以上も無しのつぶて。結局「真摯に検討致します」という回答通り(笑)全く理解していただけなかったようなので、預金を全て引き揚げて口座を解約しちゃってたりするのだが。
【参照】
●日経ITPro http://itpro.nikkeibp.co.jp/
┗「正規の証明書を持っているサイトも信用するな」,フィッシング研究者が警告 2006年2月13日
★星澤裕二のSecurity Watch http://itpro.nikkeibp.co.jp/watcher/hoshizawa/
●シマンテック セキュリティスクエア https://j-square.symantec.com/
┗ドクター星澤のセキュリティ基礎講座 https://j-square.symantec.com/useful/doctor.html
