パスワードを忘れた? アカウント作成
118897 story
セキュリティ

SSL証明書を使う詐欺サイトが急増中 48

ストーリー by hylom
SSLを信じすぎるな 部門より

あるAnonymous Coward 曰く、

ITmediaの記事によると、正規のSSL証明書を使った詐欺サイトがここ一ヶ月で急増しているそうだ。

手口としては、SSL証明書を持っているWebサイトを攻撃者が乗っ取り、そこで詐欺サイトを運用する、という手口らしい。SSL証明書は正規のものなので、ユーザーは「詐欺サイトではない」と思い込んでしまうという。

ITmediaの記事によると、EV-SSLを使用することで詐欺サイトかどうか見分けられる、ということだが、EV-SSL証明書を取得したサイトが乗っ取られてしまったら結局変わらないと思うのだが……。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by n_ayase (36873) on 2009年07月10日 14時25分 (#1603017) ホームページ 日記

    「詐欺サイトが増加」というより「乗っ取られてるサイトが増加」と書くべきでしょう、ここは。

    #信頼された証明書を詐欺サイトが独自に取得して使っているなら前者だと思いますけど

    --
    神社でC#.NET
  • by asanagi (22217) on 2009年07月10日 14時11分 (#1603009) 日記

    ソース記事の下にある関連ニュースも併せて、「いいから高い方を買えよ」って読めてしまう
    個人的に優先順位低いなぁ>EV-SSL

    • by Anonymous Coward

      たとえばspamは携帯電話を改造して、数十万とか数百万とかの利用料を払っても元が取れるらしいので、金を掛けさせるというアプローチを取っても普通の人が不便になるばかりです。
      で、SSL証明書業者乙と思ってたらネタ元がSymantecのBlogのようでびっくりしました。SymantecはSSL証明書業者からいくらもらって記事を書いたんでしょうね。
      # とタレコんでみたらすでにタレコまれていたようなのでAC

  • EV-SSL の効果 (スコア:2, すばらしい洞察)

    by JULY (38066) on 2009年07月10日 14時52分 (#1603038)
    > EV-SSL証明書を取得したサイトが乗っ取られてしまったら結局変わらないと思うのだが……

    と自分も思ってしばし考えたんだけど、もともと、この話って、「SSL でつながったことで安心しちゃだめだよ」で、実際に証明書が証明してるドメイン名を確認して、意図したドメイン名と無関係だったら、危ないって判断できる。

    ただ、一般の人に取ってドメイン名で確認するより、EV-SSL だとブラウザに組織名が表示されるんで、その方が気が付きやすい、ということはあるかな、と。

    にしても、あの IT Media の記事を見たら、まるで証明書が偽装されているような印象をうけるよなぁ。あのイメージは元のブログだと、「ほら、Verisign の本当の証明書でしょ」というのを示していて、その後のイメージで、「でも、本物と乗っ取られたものでは、Issued to のところが全然関係ないドメイン名になっているんだよ」ということを示している。...と思う(英文を細かく読んでないけど)。

    元のブログ: http://www.symantec.com/connect/blogs/phishing-toolkit-attacks-are-abu... [symantec.com]
    • Re:EV-SSL の効果 (スコア:4, すばらしい洞察)

      by Anonymous Coward on 2009年07月10日 15時04分 (#1603049)

      > 意図したドメイン名と無関係だったら、危ないって判断できる。
      > ただ、一般の人に取ってドメイン名で確認するより、EV-SSL だとブラウザに組織名が表示されるんで、その方が気が付きやすい、
      日本では銀行のオンラインバンキングのサイトでなぜかNTTデータの名前が表示されたりする [takagi-hiromitsu.jp]ので、こういう状況に慣らされてしまうと結局役に立たないのです。米SymantecのBlogはそんなトンデモな状況がありうるなんて夢にも思っていないのでしょう。
      EV SSLを導入最初期の段階で早くも役立たずにしてくれたNTTデータは腹を切って死ぬべきであるとか思いました。

      親コメント
      • Re:EV-SSL の効果 (スコア:2, 参考になる)

        by Anonymous Coward on 2009年07月10日 17時30分 (#1603154)

        EV SSLを導入最初期の段階で早くも役立たずにしてくれたNTTデータは腹を切って死ぬべきであるとか思いました。

        いや、あれは他ならぬ、日本ベリサイン株式会社がNTTデータに売り込んだものでしょう。宣伝のためにね。

        プレスリリース - 2008 NTTデータ、インターネットバンキング「ANSER-WEB®」にEV SSL証明書を採用 [verisign.co.jp]

        親コメント
      • 確かに。

        何も解らない一般人(アレゲ的な意味で)は、戸惑いながら言われるままにパスワードを入力し、一般的じゃないアレゲ人は、SSL証明書を見てずっこけるという・・・。


        SSL証明書の存在意義を問う社会派ジョークなんだね。きっと。
        --
        事態は際限なく悪化する。
        親コメント
      • Re:EV-SSL の効果 (スコア:1, おもしろおかしい)

        by Anonymous Coward on 2009年07月10日 23時10分 (#1603272)

        本では銀行のオンラインバンキングのサイトでなぜかNTTデータの名前が表示されたりするので、こういう状況に慣らされてしまうと結局役に立たないのです。米SymantecのBlogはそんなトンデモな状況がありうるなんて夢にも思っていないのでしょう。

        そういうことが可能なレベルの運用しかされていないということであり、遅かれ早かれ破綻するレベルの仕組みなんでしょう。なので、

        EV SSLを導入最初期の段階で早くも役立たずにしてくれたNTTデータは腹を切って死ぬべきであるとか思いました。

        これはむしろ、この商品が役立たずで、販売者を儲けさせるためだけに存在するものであるということを身をもって実証してくれたNTTデータは賞賛に値すると思いますが。

        親コメント
      • by Anonymous Coward
        bluegate モナ
    • by elderwand (34630) on 2009年07月10日 15時30分 (#1603071) 日記

      > 実際に証明書が証明してるドメイン名を確認して

      ってことで、「URL窓 (ていうのかな?) を穴の開くほど見れ」というのだが、最近お値段の高い証明書使ってるサイトで、その緑色の蘊蓄が長くて、肝心の URL が読み取れないサイトがある。

      Whois ボタン [mozilla.org] でも追加して、どこに繋がったかを確認するのがいいかも。

      #はい、ごめんなさい。Firefox の話です。

      親コメント
      • Re:EV-SSL の効果 (スコア:3, 参考になる)

        by Anonymous Coward on 2009年07月10日 15時37分 (#1603072)

        EV SSLはドメイン名ではなく組織名で確認するものなので、ドメイン名の表示はあまり重要視されていないものと思われます。
        > 緑色の蘊蓄が長くて、肝心の URL が読み取れない
        これは話が反対で、確認が必要なもの(証明書の種類によって組織名だったりドメイン名だったりする)は緑色だったり青かったりする部分に常に表示されるという設計になっています(Firefox 3.5の場合 [takagi-hiromitsu.jp])。

        親コメント
    • by JULY (38066) on 2009年07月11日 8時14分 (#1603343)
      今見たら、IT Media の記事に貼り付けられていた証明書の画像が削除されていますね。

      元のブログに貼り付けられていた画像から、わざわざ証明書の部分(元画像の右下にある証明書内容を表示しているウィンドウ)を抜き出すように編集していたんで、それもどうなのかなぁ、とは思っていたけど。

      編集しているのがまずいと思ったのか、内容が不適切と思ったのか、画像を削除した理由は分かりませんが...
      親コメント
    • by rbinro (36658) on 2009年07月13日 10時00分 (#1603859) 日記
      EV-SSL証明の書の普及に伴って、「アドレスバーが緑→安全」という意識が広まってしまった場合、
      インラインフレームだとか共有サーバでのEV-SSL等での詐欺行為が楽になります。
      そういう意味では、SSLだろうとEV-SSLだろうと、セキュリティレベルはほとんど変わりません。
      親コメント
  •  SSLは本来通信経路の信頼性を証明するものでしかないわけだけど、少なくともブラウザに最初からインストールされている証明書については、ある程度の社会的信頼を証明できるものでないといけない時代になっているのではないかと思います。

     アクセスしたサイトが信頼できるかどうかを担保にするためには、SSLのようなルート証明も必要ですが、サイト運営者の信用についても証明が必要になります。これはどちらか片方だけではだめで、両方セットになっていないと意味が半減します。
     今回のケースで言えば、Webサイトの乗っ取りを簡単に許して長時間気づかないようなゆるい運用のサイトがないかどうか定期的に監査するといったレベルのことまでケアするサービスが必要になっているのでは。

    #と似たようなことを「本物の」サーバ証明書を持つフィッシングサイト [srad.jp]にも思った。
    #これも関連ストーリーに追加すべきだと思う。

    --
    しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
    • > 少なくともブラウザに最初からインストールされている証明書については、ある程度の社会的信頼を証明できるものでないといけない時代になっているのではないかと思います。

      いや、それは違うように思います。

      実社会の「証明書」が、学生証や社員証といった特定の組織の所属を証明する物から、パスポートや運転免許証といった広く公に身元を証明する物、或いは公的な資格の取得を証明する物といったように、証明書が認証する範囲や内容が色々と有る様に、PKIの証明書に関しても様々な水準の証明書が使い分けられるべきだと思います。

      ブラウザに予め格納されている証明書は「発行された証明書に嘘偽りが無い」という水準であって、その発行基準としてCP/CPSが公開されているのですから、それをユーザの自由意志で使い分けられるというのは、それほど間違っているとは思いません。
      もし仮に社会的信用まで証明する必要が有るとなると、証明書を発行するための認証基準が現在のEV-SSL以上に高まるのですから、サーバ証明書を取得するための費用は数倍にも跳ね上がると考えられます。そのような高コストな証明書しか選択肢が無い状態は、サーバ運営者のTLS/SSL離れを呼ぶ事となりネットワークのセキュリティは返って低下するように思います。
      親コメント
  • 正規の詐欺サイト? (スコア:1, すばらしい洞察)

    by hime (22842) on 2009年07月10日 14時50分 (#1603035) 日記

    SSLは盗聴防止でサイトを保証するものじゃないから

    詐欺するためにいちからサイト立ち上げられたら
    意味無いです

    詐欺サイトっていうか悪徳商法サイトには無力です
    (のっとるとかいう以前の問題)

    --
    〜〜 姫 〜〜
  • by Anonymous Coward on 2009年07月10日 14時14分 (#1603011)

    言ったでしょ?!

    ばっかじゃないの! バーカバーカ。

    • by Anonymous Coward
      内容証明したって、サーバー乗っ取られちゃ意味がない。

      サイトの内容、運営共に正常に稼動している(ようにみえる)が、入力された個人情報が全て別のサーバーにもコピーしているECサイト

      なんてのが出てくるかもしれない。
      • by Anonymous Coward on 2009年07月11日 6時49分 (#1603336)
        出てくるかも、じゃなくてどのサイトもそういうものだと思って使うのがいいんじゃないかな。

        インターネットバンキングを使う口座には盗られても悲しくない程度の金額だけ置くようにして、まとまったお金は他行のインターネットバンキング申し込んでない講座で管理する、とか、通販使うなら住所と名前とどんなもの買ってるかは世界中に公表されてると割り切るか、そうでなければ私書箱使うか。

        SSLがどうこうなんて、リスク管理全体からしたら瑣末なことに過ぎないと思う。
        親コメント
  • by Anonymous Coward on 2009年07月10日 14時29分 (#1603023)

    べつに乗っ取らなくても共有SSLが使える無料サーバーでフィッシングしても同じことでは?
    そもそもSSLなんてハンコつかなきゃ発行できないって類のものじゃないし、安いところなら年間3,000円も払えば偽名で取得できるわけで、技術的な側面を説明せず安易に「SSLなら安全」って間違った啓蒙だけをし続けてきたしっぺ返しがきてるってことじゃないですかね。

    • by makoto_h (976) on 2009年07月10日 14時39分 (#1603030)
      SSLで暗号化してるから大丈夫って説明はなんかこう・・・・ですよねぇ。

      EV-SSLも、緑色だから安全!、ってこう・・・、
      EV-SSL提供する共用サーバを提供する業者とか、全然意味無いじゃん、

      なんかこう、説明が面倒だからって肝心なとこ省かないでほしいもんです。
      親コメント
      • by fcp (32783) on 2009年07月11日 11時38分 (#1603385) ホームページ 日記

        緑色という色だけではなくて、緑色ならそこに表示されている会社名なり組織名なりを確認する、というのは当然として。

        EV-SSL提供する共用サーバを提供する業者とか、全然意味無いじゃん、

        そんなことをしたらサーバー会社の EV SSL 証明書の信用がなくなるわけで、そんな誰得サーバーあるわけないじゃん。

        ……と書こうと思ったら、 #1603143 [srad.jp] の人も紹介してくれている高木浩光さんの「EV SSL を緑色だというだけで信用してはいけない実例 [takagi-hiromitsu.jp]」 (高木浩光 @ 自宅の日記) によると、 EV SSL 付きの共用サーバーなんてものが実在するんですね。何でしょうこれ。 EV SSL に恨みを持つ誰かが EV SSL を亡き者にするために EV SSL に対する誤解を広めようとして捨て身の攻撃を仕掛けているとかだったら、理解できますが。

        しかし、「共用SSL」サービスにEV SSLを用いることには意味がない。意味がなく、かつ、紛らわしく誤解をする利用者もいるだろうから、やめてほしいと思う。

        という高木さんの感想にまったく同感です。

        高木さんは実験のために月額 1,575 円のサービスに申し込まれたみたいですが、ほかに顧客がいないことを願います。

        親コメント
        • by Anonymous Coward

          > ほかに顧客が
          少なくとも47件ほど利用者がいる [google.co.jp]みたいです。有償サービスだと賠償問題にも発展しかねないしもう後には引けないのではないでしょうか。

          • 少なくとも47件ほど利用者がいる [google.co.jp]みたいです。

            情報ありがとうございます。検索結果の 47 件の中にはこの共用サーバーへのサービス申し込みのためのページ等が含まれているので、 Google で見つかる利用者の数は 47 よりは若干少ないのですが、それでも 40 以上はいそうですね。

            これは……これはきっと、全部セキュリティー研究者の実験に違いありません。なーんだ、びっくりした (現実逃避)。

            有償サービスだと賠償問題にも発展しかねないしもう後には引けないのではないでしょうか。

            賠償問題に発展する可能性がどれだけあるかはわかりませんが、今更後には引けないという面はあるかもしれませんね。

            親コメント
    • by Anonymous Coward

      技術的な側面を説明せず安易に「SSLなら安全」って間違った啓蒙だけをし続けてきた

      ただ,これは「技術的な側面」を説明したところで

      1. 単純に理解が難しい(暗号とはなんぞや,なにが担保されているのかなど)
      2. そもそも,「(心中で思っている)お目当てのサイトであること」を確認する方法とは, SSL自体なんの関係もない

      という問題があります.

      後者は極めて根本的な問題で,SSL/TLS以外でも現在のところ なにも解決策は見つかってないんじゃないですかね.

      # 「レピュテーション」でどうにかなると思うほど楽観的じゃない…

      • by Anonymous Coward
        昔はSSLでも身元確認しているので安全な時期があった。
        今はそれはEV-SSL。
        SSL証明書なんてただの会員証なんだから、SSL屋ではなく目的毎にちゃんと分類して発行/確認できるようになればいいんじゃないんですかね。
        たとえば親会社が子会社のSSL証明書発行して身元保証するとか、JASRAC等々業界団体やなんとか協会が所属してるよ証明にSSL証明書発行するとか。
        • by Anonymous Coward on 2009年07月10日 17時14分 (#1603143)

          昔はSSLでも身元確認しているので安全な時期があった。 今はそれはEV-SSL。

          そんなあなたにはこちら [takagi-hiromitsu.jp]をどうぞ。

          親コメント
          • by Anonymous Coward
            ただの会員証だって言ってるのにそれ出されても、何の参考にもならない。
            その企業がサーバ運営してるのは間違いないんだからそれでいいんじゃないの?
            運営者以外の何かを保証しているとでも思ってた?
        • by Anonymous Coward
          > たとえば親会社が子会社のSSL証明書発行して身元保証するとか、JASRAC等々業界団体やなんとか協会が所属してるよ証明にSSL証明書発行するとか。
          その親会社なり業界団体が発行した証明書は信用できるんですかね。
          • by Anonymous Coward
            今は製品やサービスごとにわけのわからないドメインが乱立してますよ。それがどこが運営してるかなんて、正直わかりにくすぎる。
            何も素性がわからないペーパーカンパニーよりは身元の証明になるんじゃない?
            発行管理は今までどおりのところに任せてもいいと思うけど、中間証明書に所属団体はさんでおけば、銀行なんかの業種を装うとか、そういうことはできなくなるんじゃない?
            届け出、許可が必要な業種で、違反したら停止とかやりやすそうだし。
            類似名称にご注意って事象等々は減る気がした。見せ方はそれなりに工夫する必要があるかも。
  • by Anonymous Coward on 2009年07月12日 4時01分 (#1603650)
    そうおもうんだな。
typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...