2005年01月18日(火) これまでの01月18日 編集

■1オレオレ認証局によるルート証明書組み込め詐欺[セキュリティ] このエントリーをはてなブックマークに追加

ルート証明書を組み込ませるのが常態化すると、

手続を継続するためには、以下の手順に従って証明書を組み込んで頂く必要があります。 この証明書によって、弊社との通信が安全に行われます。

という、フィッシングが簡単に成立してしまう。
そして、いったんオレオレ認証局のルート証明書を組み込ませてしまえば、もう何でもありである。
「クレジットカード情報の様なセキュアな情報を入力する時は、ブラウザに鍵のマークが出ていないといけないし、鍵をクリックしてお店の情報を確認しなければいけない、証明書の内容とドメイン名が一致していることも確認しないといけない」という確認をやっていても、引っかかることになる。証明書の発行者名の欄にも疑わしいところはない。
これに気づくのはかなり難しい。

いったん、「ルート証明書を組み込め」に抵抗感がなくなってしまえば、PKIは破綻してしまう。信用の拠点に置けるものがなくなってしまうからである。
Lucky Lovely Laboratory[http://www.cubed-l.org/]ルート証明書をインストールしても良い条件[http://www.cubed-l.org/?date=20050118#p02] がまとめられているが、この程度の事は本当に必要なことなのだ。そして、こんなことを普通のユーザに要求してはいけないし、解決手段はあるのに使われていない。

■2組み込め詐欺対策 このエントリーをはてなブックマークに追加

オレオレ中のオレオレ認証局の証明書を組み込んでしまわないように、インターネットエクスプローラーではかなり強烈な警告が出るようだ。

信頼されていないルート証明書セキュリティ警告

情報不足のため、この証明書を検証できません:

ところが、まだ取り込んでいない、どこか知らないオレオレ認証局に署名してもらった証明書は、

情報不足のため、この証明書を検証できません。
情報不足正しくインポートされました

という表示で「セキュリティ警告」は出ずに、中間証明機関として取り込まれるようだ。

中間証明機関

これでオレオレすると、どういう警告が出るかについては、まだ実験していない。

■3 オレオレ証明書クイズ[http://www.hyuki.com/diary/20050115230146] このエントリーをはてなブックマークに追加

オレオレ認証局クイズを作りたいと思ったんだけど、うまく行かない。長くなるけれども、いったんきちんとシナリオをまとめてみる。

  1. マロリーはボブ商店のサイトを騙って、詐欺をしようとしています。
  2. アリスは欲しい商品を検索で見つけて、マロリーの用意したサイトで買い物をしようとします。
  3. カートに商品を入れて、レジの画面に行こうとしたら「セキュリティ証明書は、信頼する会社から発行されていません。」という警告がでました。
  4. アリスは、ここで信頼する会社から発行されていないのだから「はい」をクリックしてはいけないと思いました。「証明書の表示」をクリックして、「発行者のステートメント」を確認してみると、「安全な通信を行うための証明書の入手と設定について」というページが表示されました。
  5. 良く分からなかったので、マロリーのサイトのQ&Aを見てみると、「セキュリティの警告が表示されたら」という項目がありました。説明には、「安全な通信を行うための証明書」が導入されていないためで、「安全な通信を行うための証明書の入手と設定」のページの通りにやれば、安全な通信ができると書いてあります。
  6. 「安全な通信を行うための証明書の入手と設定」のページには、証明書のダウンロードの方法と、設定の方法が書いてありました。途中で「セキュリティ警告」が出て、「拇印」を確認する画面がでました。
  7. この「拇印」の確認の事は、「安全な通信を行うための証明書の入手と設定」にも、きちんと確認しなければならないと書いてありました。慎重なアリスは両方がきちんと一致する事を確認しました。
  8. 今度はレジの画面に行っても警告は表示されません。
  9. アリスは、住所やクレジットカード番号を入力する時は、鍵のアイコンをクリックして、証明書を確認するようにしています。
  10. 証明書は信頼できるトレントが確かにボブ商店に発行したものの様に見えます。
  11. アリスは安心して、住所とクレジットカード番号を入力して、注文を済ませました。

1,2を外して、大丈夫かどうかを問えばクイズになる様な気はするけれども、全体の説明が長すぎる。 「こんな複雑な攻撃が成り立つわけない」という印象を与えない様にするためにはどうしたら良いのだろう。
本当は「こんな複雑な攻撃が成り立つわけはなかった」のだけれども、あっちこっちで常態的にルート証明書を組み込ませていると、成り立つ余地が出てきてしまうと思う。

■4 OreSign.jp[https://www.oresign.jp/] このエントリーをはてなブックマークに追加

取得したヒトが要るらしい…すばやい。

OreSign.jp証明書の警告
以上、1 日分です。

指定日の日記を表示

前月 2005年01月 翌月
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31

最近の日記

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

2018年12月18日

続・Echo Dotがやってきた

2018年12月17日

Echo Dotがやってきた
Amazon Product Advertising API

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project