パスワードを忘れた? アカウント作成
13481501 story
インターネット

EV証明書を使用して既知の企業になりすませる可能性が指摘される 61

ストーリー by headless
大穴 部門より
EV証明書を使用して既知の企業になりすませる可能性をセキュリティリサーチャーのIan Carroll氏が指摘している(実証ページ兼解説記事Ars Technicaの記事)。

EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。Safariの場合、EV証明書を使用したWebページではアドレスバーにURLが表示されず、発行先の会社名のみが表示されるため、本物のWebサイトに似たフィッシング用のドメインを取得しなくてもユーザーがだまされる可能性もある。9月にセキュリティ専門家のJames Burton氏は「Identity Verified」という会社を設立して取得したEV証明書を使用し、Safariで安全なWebサイトがGoogleやPayPalのログイン情報を要求しているかのように見える例を示して詐欺の可能性を警告している。

Carroll氏の場合は「Stripe, Inc」という会社を米ケンタッキー州リッチモンドで設立して実証サイト「stripe.ian.sh」のEV証明書を取得。オンライン決済サービスを提供するStripe(stripe.com)と同名だが、こちらは本社がカリフォルニア州サンフランシスコにある。しかし、Safariのアドレスバーではstripe.ian.sh、stripe.comともに「Stripe, Inc」と表示されるのみで見分けがつかない。

他のブラウザーではURLも表示されるが、フィッシング用のドメインを使用すれば気付かれにくくなる。Internet ExplorerやMicrosoft Edgeでは1クリック、Mozilla Firefoxでは2クリックで発行先企業の所在地情報を確認できるものの、一見して本物かどうかを確認するのは難しい。Google Chromeの最近のバージョンではシステムの証明書ビューアを2クリックで表示できるが、一般ユーザー向けではない。

Carroll氏は会社設立に100ドル、EV証明書発行に77ドルを支払い、1時間ほどの作業でEV証明書を取得できたという。会社設立からEV証明書が発行されるまでの時間は48時間程度だったとのこと。本人確認情報はCarroll氏自身のものを使用しているが、最低限の確認しか行われないため、盗まれた身分証明書などを使用することも可能とみられる。

Burton氏が「Identity Verified」でEV証明書を取得したことが公表されて以来、CA/Browser Forumでは審査方法の見直しが議論されているそうだ。CA/Browser ForumのBaseline Requirementsでは詐欺に使われそうな名称をリスクの高い証明書リクエストの一つに挙げているが、フィッシングのターゲットに使われるような名称のリストの維持は証明機関次第だとCarroll氏は指摘する。また、SafariのようにEV証明書が重要なユーザーインターフェイスをオーバーライドする仕様など、ブラウザー側にも修正すべき点があるとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • SSL証明書周りって (スコア:3, すばらしい洞察)

    by akainu (47946) on 2017年12月16日 13時21分 (#3330853)

    あんまり手が入っていないだけでまだまだ穴が色々ありそう
    特にSANsまわりとか

  • >EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。

    表示の実装方法云々じゃなくて、審査が不十分なのが全ての問題。ここを直さないと他にも問題がボロボロ出てくるし、逆に直せばほぼ全ての問題が解決する。

    • by Anonymous Coward

      >Safariの場合、EV証明書を使用したWebページではアドレスバーにURLが表示されず、発行先の会社名のみが表示される

      >Safariのアドレスバーではstripe.ian.sh、stripe.comともに「Stripe, Inc」と表示されるのみで見分けがつかない。

      明らかに表示に問題があるだろ何いってんだ。

      • なかなか難しい (スコア:4, 参考になる)

        by ogino (1668) on 2017年12月16日 16時59分 (#3330908) 日記

        「アドレスバーでは…見分けがつかない」というのはより正しくいえば「アドレスバーをクリックしなければ見分けがつかない」ですね。このあたりスマートフォンなど画面の狭い UI と共通化を図っているせいかもしれません。

        逆に、他のブラウザでは URL と EV 証明書の組織名を両方表示しようとして、両方とも先頭部分しか表示されない場合がある、とも言えます。すると先頭部分だけ URL を似せておけば見ただけでは区別がつかない、という問題がでることになります。(Safari ならばクリックすると組織名の部分が URL になるのでスペース的に余裕がある) Chrome on iOS ではIPA [ipa.go.jp]の EV 組織名表示がされません。Safari on iOS なら Information-technology Promotion Ag ぐらいまで表示できます。

        # どちらかというと、Safari が EV 証明書の国コードを表示しない方が不安ではあります

        # 手元の IE11 on Win7 はタブの左のごく狭い場所にアドレスバーが表示される……解像度のせいか?

        もし、ユーザが接続したいサイト(企業)の正しい URL を知っていると仮定できるのなら、EV 証明書は不要でドメイン名を保証する証明書で構わなかったはず。EV 証明書は組織の正しいドメイン名を知らなくても組織を特定できるようにという意図で生まれたはずなので、両方を同時に表示して先頭部分しか表示されないよりも、より組織名・URL を表示するスペースを確保する、という考えも理解できます。

        ドメイン名を表示しておけばユーザーの責任、というのは多分間違いだと思うのですが、正しい組織名を表示してダメだとなると、州名など住所をより詳しく表示して情報量を増やすぐらいしか思いつきません。これをするとますます URL 表示に割ける面積が減ることになりますから、URL を常時表示するのは諦めた方が正解かも、とも思います。

        親コメント
        • このあたりスマートフォンなど画面の狭い UI と共通化を図っているせいかもしれません。

          これはセンスの無い設計ですね。画面(特に横幅)が狭いのでやむを得ず省略している情報は、PCの広い幅の画面ではきちんと表示すべきです。

          逆に、他のブラウザでは URL と EV 証明書の組織名を両方表示しようとして、両方とも先頭部分しか表示されない場合がある、とも言えます。すると先頭部分だけ URL を似せておけば見ただけでは区別がつかない、という問題がでることになります。

          確かにその通りですね。

          ドメイン名を表示しておけばユーザーの責任、というのは多分間違いだと思うのですが、正しい組織名を表示してダメだとなると、州名など住所をより詳しく表示して情報量を増やすぐらいしか思いつきません。これをするとますます URL 表示に割ける面積が減ることになりますから、URL を常時表示するのは諦めた方が正解かも、とも思います。

          スマホについては常時表示を諦めて、スクロールで消えるようにするしかないと思います。

          しかし、PCの場合は、アドレスバーを2行にする程度の余裕はあるので、EV証明書の場合は下記のように番地まで表示すべきだと思います。Stripe, Inc の場合には、次のようになります。

          🔒Stripe, Inc | https://stripe.ian.sh/
          212 N. 2nd St, STE 100, Richmond, Kentucky, 40475, US

          🔒Stripe, Inc | https://stripe.com/
          3180 18th St., Suite 100, San Francisco, California, 94110, US

          ゆうちょダイレクトだとこんな感じで、千代田区霞が関1-3-2のゆうちょ銀行なんだな、とユーザーが確認できます。

          🔒JAPAN POST BANK Co., Ltd. | https://direct.jp-bank.japanpost.jp/tp1web/U010101SCK.do
          1-3-2,Kasumigaseki, Chiyoda-Ku, Tokyo, 100-8798, JP

          ※上記の番地情報は、実際に使われている EV 証明書の Subject に含まれている Object Identifier (2 5 4 9) の Street address [oid-info.com] (CA/Browser Forum のガイドラインでは必須ではない) の情報

          スマホの場合も同じようにアドレスバーをURLと住所の2行で表示して、下にスクロールすれば隠れるようにすれば良いのではないでしょうか。

          意図的に組織名を長くして全部表示できなくするといった悪用方法も考えられるので、組織名や住所は省略表示をせずに長い場合には折り返し表示(3行以上になる)すれば良いと思います。

          親コメント
        • by Anonymous Coward

          ドメイン名、組織名(重複容易な為)、国と組織名(同一国内で重複出来ないとする)、国と組織名と所在地、国と商標、何を表示したとしても、ユーザがその名称と自分の目的とするサービスの持つ名称を比較しなきゃならないのは同じかと思います。

          ユーザが正しく認知している可能性が高いのを選ぶべきと考えると、商標で排他するか、
          ドメイン名ないし組織名を積極的に広報してもらってそれ表示するのが一番安全って事になると思うのですが、
          1組織で複数のサービスを展開することを考えるとドメイン名で済ますのが一番安全な気がします。

          もうどうせ大体のブラウザは国際化ドメイン名に対応しているのだし、
          「~で検索」とか言ってないで「国際化ドメイン名でサービス名.jp」へアクセス!とかCMすればいい。

          # 価格.com は早いところ xn--1sqt31d.com を取ってそっちでもサービスするべきだと思う。

      • by Anonymous Coward

        それはsafariの問題だよね。完全に。

    • by Anonymous Coward

      んなわけない
      仮に実装に問題なしとしても(ありえねー)、審査の健全性のみに全て依拠しているって、クソ規格にもほどがあるわ

    • by Anonymous Coward

      審査が不十分なのが全ての問題。

      正しく登記された実在の企業で、連絡先(住所等)も間違っていない、以上の何を審査すれば良いというのか。

      • by Anonymous Coward on 2017年12月16日 15時15分 (#3330878)

        実在の企業を作れてしまう脆弱性

        親コメント
        • by Anonymous Coward

          日本では登記住所さえ異なれば別に他社と同じ名前をつけていい。
          商標上の問題で訴えられるケースはあるけど、フィッシングをしようというヤツは気にしないだろうね。そもそも商標だって区分が違えば同一でも問題ないし。

          どこの国でもそうだと思うが、同一会社名を認めないとつけられる会社名がどんどん長くなってしまって困る。
          だから、会社が正規に設立される以上はどうしようもない。

          • by Anonymous Coward

            しかも国が違えばもう、重複なんてチェックすらされないしな
            それを審査が足らないというなら、既存企業のリネームも含めて、全世界の企業名を一意にする制度を整える必要が出てくる

            • 一応現状でも Safari 以外の主要ブラウザは EV 証明書の Subject "C" の国名をアドレスバーに表示しています。

              Safari  : Stripe, Inc
              Chrome  : Stripe, Inc [US]
              IE 11   : Stripe, Inc [US]
              Edge    : Stripe, Inc [US]
              Firefox : Stripe, Inc (US)
              ※各ブラウザの最新版でアドレスバーに表示される文字列

              しかし、同じ国内でも企業名の重複が許されている国がある(アメリカや日本など)ので、同国内だけであっても企業名を一意にするというのは現実的ではないですね。

              親コメント
              • by Anonymous Coward on 2017年12月17日 9時56分 (#3331095)

                国跨げば確実に、国内でも国によっては重複可能なIDでどうこうしようって発想がなぁ…
                なんかサイン文化とかFacebookに見られるような実名偏重&乱用の一環のようにも思える。

                そもそも、もともと全世界で重複のないドメイン名ってキーが有るのに
                どうしてわざわざ重複して識別が困難になるキーを有難がっているんだ。
                ましてやセキュリティ上の識別符号として使用するとか正気じゃない。
                ドメイン名が目的上正しいことを確認しつつ、補足的に運営組織が確認できる、で十分じゃないか。
                国際化ドメイン名使えば多言語で人間可読なドメイン名だって作り放題なのになんでまた……

                EV証明書に金払った企業としては派手にアピールしてほしいかもしれんが、
                そもそもこんなの鍵マーククリックするまで非表示だって構わんだろ…

                親コメント
      • ペーパーカンパニーでないかどうかのチェックぐらいは定期的に…無理かなぁ。無理っぽいなぁ。
        Safariの実装が頭おかしいのは判ったけど

        親コメント
        • ペーパーカンパニーでないかどうかのチェックぐらいは定期的に…無理かなぁ。無理っぽいなぁ。
          Safariの実装が頭おかしいのは判ったけど

          法人の納税証明書を毎年送付する義務をつけるとか。
          新規法人も納税証明書取れます。

          親コメント
          • by Anonymous Coward

            ペーパーかどうか、納税金額が多いかどうか、そういうのと信頼がおけるかどうかとは別だから、ぶっちゃけ意味ないよねw

            • by Anonymous Coward

              金額が多いか?なんて誰か言ったかな?

              ペーパーかそうでないかは、
              納税してるかしてないかでしょ。

              納税してるけどペーパー、営業してるけどペーパーとか良い始めたらきりがない。

              • by Anonymous Coward

                納税額ゼロでも納税証明書取れちゃうよ・・・

        • by Anonymous Coward

          世の中ペーパーカンパニーだらけで成りすましする側は法人すら立ち上げずにやるんだから意味がない

      • 格付け機関 [wikipedia.org]に依頼するか、同じ審査をやれば良い。

        親コメント
        • by Anonymous Coward

          リンク先を読んだら格付け機関がつけてる信用格付の信憑性にも問題が,みたいなことが.
          とすると,格付け機関の格付けも必要なのかも?

        • by Anonymous Coward

          ユニークユーザー数とかアクセス数とかが大きなサービスに限れば分かりやすい指標になると思う。
          Googleならできる。他はできない。

      • by Anonymous Coward

        商標。
        できれば商標法の方で「Webサービスとして使用する名前、Webサービス提供車の名前」等の区分を各国で設けてもらってそれを持ってる会社であることを確認するあたりが妥当かなぁ…

        でも根本的な話として「使おうと思っているサービスの正しい何らかの名前」と表示されている名前をユーザが比較するのは同じ。
        会社名オンリーは重複し放題で論外だが、国と会社名にしても、国と商標にしても、ドメイン名にしてもその比較方法は変わらない。
        どうせHTTPSでアクセスするんだったらドメイン名オンリーで見たほうがチェックしなきゃいけない情報少なくて安全な気がするなぁ…

        • by Anonymous Coward

          じゃあ中国みたいにサイト運営するときは登録制にするしかないのかな。

  • by Anonymous Coward on 2017年12月16日 13時43分 (#3330857)

    そりゃ、そうやろ...

    • by Anonymous Coward

      俺は知ってるぞ。httpsなら安全なんだろ?w

      • by Anonymous Coward

        盗聴に対してはな。

        • by Anonymous Coward

          盗聴者が通信相手になりすましているかもしれないのに?

          • by Anonymous Coward

            なりすましの場合は証明書を検証されるとすぐにばれます
            ルート証明書の秘密鍵やサーバー証明書の秘密鍵を持っていない限り

    • by Anonymous Coward

      こういうのがコロンブスの卵ってやつなんですね

  • by Anonymous Coward on 2017年12月16日 15時25分 (#3330884)

    日本の企業でも、似たような名前や全く同じ名前の別企業ってのが数多くあります。

    特に中小企業ですとこれが顕著で、全く異なる業種にもかかわらず同じ名前だったりすると、
    ウェブの問い合わせフォームや電話で、向こう側の会社さんの問い合わせが届いてしまったりすることも多く、
    「すいません、それは同名の別会社かと」として、わざわざお断わりしなければならない状況だったりもします。

    やるとすれば、EV SSL内の対応ではなく、企業名を商標として登録し、法的な排他制御をするほか無いのではないかと思いますが・・

    • by Anonymous Coward

      > 企業名を商標として登録し、法的な排他制御をするほか無い

      登記する時に商法違反かどうかを調べるのは登記する者の義務で、法務局ではチェックしないはず。
      だから同一であっても住所さえ違えば門前払いにはならない。(許可をもらってる可能性もあるし。)

      フィッシングをするヤツはわざとやってるので、商標登録はあまり効果がない。
      (フィッシングではなく便乗商法とか虎の威を借りるタイプには有効。)

    • by Anonymous Coward

      同業でも同名の会社が幾つかあって、たまに勘違いしてくる人がいるAC

      • by Anonymous Coward

        昔、そんな事も知らずに自社アドレスを取った。
        そのあと、同名の会社が複数、ある事を知って、勝った、、、と思ったな。

        今となってはどうでもイイや。

  • by Anonymous Coward on 2017年12月16日 18時01分 (#3330934)

    現実で企業を騙る詐欺もあるし、結局、何を信用して何を信用しないのかというのは
    個々人の価値判断の話なので自動的に解決する方法なんて存在しないんだと思う。

    • by Anonymous Coward

      ほんとこれ。まぁ間違えてんじゃない??って自動アドバイスはできるけどね

  • by Anonymous Coward on 2017年12月16日 19時21分 (#3330963)

    マイナンバーの法人版である、法人番号を使えばよくね?
    マイナンバーと違って公開されるもので、誰でも自由に使えるから。

    個人サイトはしらん。

    • by Anonymous Coward

      それが正しい番号かどうかチェックするのは、
      住所をチェックするより遥かに大変だわ。

    • by Anonymous Coward

      ISO/IEC 6523とか世界中の組織が持ってる番号があるんだから、それを使えばいい。

      • by Anonymous Coward

        その番号と、ユーザーが実際にアクセスしようとしてる企業の番号が等しいってことをチェックできなければ、意味がないと思うのだが。

        で、わざわざチェックするような人はドメイン見比べれば判るから、結局あんまり意味がない。ドメインを見て相手が意図している接続先だと判るなら、EV-SSLは必要ない(ただのSSLで事足りる)し。

        # まあ旧Verisignのやらかしみたいな事案があるから「ただのSSLはちょっと」というのも判るのだが

  • by Anonymous Coward on 2017年12月16日 20時09分 (#3330977)

    DV証明書なんですね。

  • by Anonymous Coward on 2017年12月17日 2時41分 (#3331066)

    にでもせんと防げなくなってきたか・・・
    いつかはこの問題、来ると思ってたけど、対応は遅いだろうなぁ。

  • by Anonymous Coward on 2017年12月17日 3時32分 (#3331072)

    自分以外は誰も信用しない意識高い系()なたちはEVが登場する前から証明書のSubjectを確認するくらいやってたものですが、
    「そんなもん誰も見ねーよ余計な情報で混乱させんじゃねぇ」って、衆愚政治を是とする方々の意見に押されたせいなのか、
    確認する手段が無い、もしくは開発ツールから開かなければ見れない(一時のPC版Chrome)とか煩雑になったりして・・・と、
    詐称しやすい温床を育ててしまったのは事実でしょうね。

    個人的には「EV」ってDVよりはマシ程度にしか認識してないんですけどね。既に議論されてるように同名の会社作るだけで
    詐称できますし、Verisignが売却される原因になった認証プロセスが不適切などの問題もありますし。
    もちろん、誰かが「信用」を認証する仕組みはアリとは思いますが、「可能な限りの情報は開示してユーザに判断させる」選択を
    用意した上での「追加情報」とすべきなんじゃないかと。たとえば、EVの場合はSubjectに番地含む住所と電話番号も記載しておけば
    詐称はかなり困難です。

    • by Anonymous Coward

      ユーザがドメイン名に加えてEV証明書の組織名を確認するなら「DVよりはマシ程度」になるけど、
      ドメイン名を無視してEV証明書の組織名を意識させるようになってしまうと逆効果な可能性も大きい。

      悪意により似せた名前の「ドメイン名」と「EV証明書の組織名」のどちらならユーザが識別できるのか。
      ドメイン名なら正しい綴りと正しいTLDを知っていれば識別できる。
      後者は、正しい綴り、正しい国、さらに同名登記可能な国では正しい住所ないしは番号を知らなければならない。

      所詮、組織としての登録の有無を確認する程度の意味しかないにもかかわらず、
      EV証明書が安全などと喧伝し、あまつさえドメイン名よりも優先してしまっては本末転倒にも程がある。
      EV証明書を売ってる側の圧力でもあるのかね……

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...