2006年02月15日

信用出来ない錠マーク

オンラインショッピングなどでIDやパスワード、クレジットカード番号を入力する時にまず確認するのがブラウザ下にある「錠マーク」の「SSL認証」。これが信用出来なくなってきたみたいです。


下の説明は長いですが、まずはSSL認証についてです。
特にオンラインショッピングする人は、飛ばさないで見て欲しいですね。

インターネットは、相手と自分が一本の線で繋がっているわけではありません。
目的のサーバとのやりとりは、いくつものサーバを中継して届くしくみになっており、自分のLANの中でもモデム〜ルーター〜パソコンのLANポート〜ブラウザと経由して表示されます。
サーバを中継するという事は中継地点のサーバでデータを覗く事が出来ますし、電話の盗聴のように通信線に機械を挟んで盗む事が可能です。また、LANの中にコッソリと悪質な機器を取り付けて他のPCに流れるはずのデータを横取りして見たり、パソコン内でもスパイウェアが忍び込んで、ブラウザで表示される前にデータを横取りしてどこかに送信する事だってありえます。つまり、意外に盗聴するチャンスは溢れているという事です。また、盗聴出来るという事は、なりすまし、データ改ざん等も出来るという事です。

基本的にインターネット上にデータが流れる時は入力した内容やファイルがそのまま送信されます。例えば「藍旋です」という内容を暗号化されていない文章を送れば、途中の送信データも「藍旋です」という文字が送信されます。これを「平文(ひらぶん)」といい、盗聴された場合はそのまま「藍旋です」というデータが見えるため、通信内容が筒抜けです。

その平文の反対が「暗号文」といい暗号化して送信します。相手と自分のブラウザまでをSSLという暗号化する技術で暗号化して送信するため、途中で見られても大丈夫という物です。例えば「藍旋です」という内容を暗号化された文章を送れば、途中の送信データは「0hw&_zEz3%x」等という意味不明な文字が送信されます。これなら見られても大丈夫というわけです。

この暗号化が行われているかどうかわかるのが錠マークという事です。いうまでもなく、お金に関わるサイトでIDやパスワード、キャッシュカード番号が盗聴しやすい状態なんて危険ですよね。だからこそ、上のような暗号化が必要というわけです。逆に、お金に関わる所のログインなどで錠マークがない所は信用出来ないと言えます。


これが通常のYahoo!のログイン画面です。錠マークはありません。ログインボタンの下の「SSL(https)」をクリックすると・・・
SSL認証1

ブラウザ下にある錠マークがある状態、これがSSL暗号化中という状態です。
SSL認証2

その錠マークをクリックするとこんな画面に。SSL 3.0というSSLのバージョン、128ビット暗号化などが表示されます。例えば128ビット暗号だと「現在の最高レベルのコンピューター環境が利用できたとしても、百京(けい。兆の1万倍を示す単位)年以上の時間がかかるという試算があるくらいです。」という説明があるぐらいです。そんなに掛かるはずはないんですけど、現実的に不可能という数字は実感出来ますよね。
SSL認証3

上の証明書ボタンを押すと証明書が見れます。これはサーバ証明書(デジタル証明書)などと呼び、発行先がそのサイト(ページ)になり、発行者がサーバ証明書を発行した機関となります。発行者が公正な第三者機関であるほど信用出来るという事です。例えば「VeriSign(ベリサイン)」等が有名で、「Secure Server Certification Authority」はVeriSignの事みたいです。
SSL認証4

ちなみに、「DocWallについての追記」で書いたオレオレ保証というものがあります。これは発行先と発行者が同一だというものです。つまり「私が私を信頼出来ると証明します」という証明書もあります。錠マークがあれば大丈夫という物ではないんですね。
DocWall証明書
(現在、上記の会社はオレオレ保証にはなっていませんでした)


長い長い説明でした・・・

さて、基本的にSSLのサーバ証明書は、このサーバは第三者機関で証明された所・・・つまり、かなり安全なサイトという位置付けになります。このサーバ証明書を採るためには身元を証明しないといけません。また、第三者機関から発行されていない場合や、発行先にあるサイトと実際のサイトが異なる場合はポップアップで警告が出てきます。なので、詐欺サイトには使いづらいんですね。
※かなりであって、絶対ではありません

ところが、こんな記事がでてきました。

この安全の指標となるサーバ証明書が、電子メールのやりとりだけで取得出来るサービスが出現しているそうです。つまり、身元証明としての機能が信用出来なくなってきているという事です。そして、これを使ったであろうフィッシング詐欺サイトが既に存在していて、そのフィッシングサイトのサーバ証明書は第三者機関から発行されたものらしいです。

「錠マーク=安心」の構図がガラガラと崩れ落ちてきましたね。。。


また、ビックリしたのが「再度アクセスすると、その場合は正式サイトに移動させるという詐欺サイトがある」ということです。
判りづらいですが・・・例えば、フィッシングメールなどでみずほ銀行の詐欺サイトに見に行ったとします。「なんか怪しくない?」と思って一度その画面を閉じたりした後に、もう一度見に行くと、短時間に再アクセスして来た場合は警戒されたと詐欺サイトが認識して、本当のみずほ銀行にジャンプさせるという仕組みです。その時は正式なサイトなので、調査をしても問題が発覚しないという事です。かなり手が込んでいますよね。こんなのあるんだ・・・と思って、驚いています。


正直、ココまで来ると、どうすれば安全ですよと書くのは難しいです
フィッシング詐欺に少しでも強くするには、面倒ですが、メールやバナー広告のクリックから通販サイト等にいかず、ブックマークやGoogle等で検索して正しいトップページからリンクして行くのが最良となります。

面倒ですが、1000円の商品を買うだけだから気にしなくていいよね!という問題ではなく、個人情報やクレジットカード情報等を盗まれて100万円の損害にまで発覚する可能性があるという事を覚えておいて下さいね〜!!
この記事へのコメント
ども☆
SSLまで偽装ですか…
ここまで来ると、何が安全で、何が危険なのか良くわからなくなってきましたね。
特にPhishingに関してはお手軽に出来ちゃうので、本当に怖いですよ。
それこそワンタイムPassとかの導入とかでもしない限り難しいのではと思うのですが、そうするとユーザーの利便性も落ちるので難しい限りです。
こういうところでMicro$oft、Mozilla、Opera、Apple、KDE等が一体になってPhisingに対抗する手段を作ってくれればM$のイメージも多少はアップするとおもうんですけどね。
Posted by Heero at 2006年02月15日 17:22
Heeroさん、こんばんわ〜♪
安易に取れるサーバ証明書があると聞きましたけど適当な所だと思っていました。今回のはちゃんとしたサーバ証明書だったみたいで、驚いています。。。

どこも自分の技術こそを使いたい!と思うので、なかなか決まってくれそうにないですよね。。。それこそ、Microsoftが一歩下がって協力的になってくれれば、早く決まりそうで仕方ないですよね〜(笑)
Posted by 藍旋 at 2006年02月16日 02:52
いつも鍵マークで安心してオンラインショッピングしている自分としてはショッキングですネ・・
とりあえず不安なんで、オンラインでカード使用状況を定期的に確認するようにはしていますが。
Posted by cleanair at 2006年02月17日 09:14
cleanairさん、こんばんわ〜♪
私もオンラインショッピングするのは楽天やAmazon等の名が知れた所が殆どで、それらは鍵マークの存在だけしかチェックしてません。
知らないサイトのオンラインショッピングは、鍵マークを見て、オレオレ保証じゃなければOKとしていました。

まさか、信頼がおけそうな発行元でも信用出来ないかも?なんて・・・

ところで。
私も、毎月1回以上はオンラインでカード等のチェックしています。
この時に入力したパスワードを盗られたら? そのリスクはどうなのかな? でも、チェックしないと気付かないし・・・って、ついつい堂々巡りな考えをすることがあります。
私だけなんでしょうか(笑)
Posted by 藍旋 at 2006年02月19日 00:12
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

※半角英数字のみのコメントは投稿できません。
この記事へのトラックバックURL

※半角英数字のみのトラックバックは受信されません。

この記事へのトラックバック

正規の証明書を持つ「フィッシング詐欺」が登場
Excerpt: あたかも有名な金融機関のオンライン口座のような、そっくりの姿をした偽のサイトでユーザーを騙し、ログイン名やパスワード、クレジットカード番号を盗むという手口の犯罪「フィッ??
Weblog: ネットカルチャー概論
Tracked: 2006-02-16 11:04
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。