<前の日記(2004年10月22日) 次の日記(2004年10月29日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 3276   昨日: 3178

2004年10月27日

信頼あるドメイン名の意義を軽視する地方自治体の愚行

全国の都道府県の電子申請システムが続々と稼動を始めつつあるが、そのいくつかは独自ドメインを使用している。例えば以下などがそうだ。

フィッシング詐欺の流行が懸念されているこのご時世に、ニセのドメインと区別しづらいこうしたドメイン名を使うというのは不用意なことであり、これらはセキュリティ意識の欠如した人物が企画したものと推察される。

一般に、Webを使うにあたってユーザは、自分が使うアクセス先サイトの本物のドメイン名を普段から暗記しておかなくてはならない。山梨県の電子申請システムを使う市民たちは、「ycma.jp」という名前をきっちりと覚えておかないといけない。「ymca.jp」と見間違えたりするようでは危険である。富山県を使う人は、本物は「e-toyama.net」であって、「i-toyama.net」ではないし「e-toyama.org」でも「e-toyama.jp」でもないことを知っていなくてはならない。

「i-toyama.net」や「e-toyama.org」などのドメインは誰でも簡単に取得できてしまう。「i-toyama.jp」ドメインも誰でも取れるだろう。徳島県は「tok-j.info」だそうだ。なぜ「.info」などという信頼性の最も低いものを使うのか。案内ページだけでなく、個人情報入力画面自体が「tok-j.info」上に置かれている。

自治体には昔から地域ドメインが割り当てられてきたし、さらに2002年からは「lg.jp」という地方公共団体向けの専用ドメインが用意された。せっかく用意されたのに、これを使わないのは愚かである。

  • 地方自治体専用の「LG.JP」、年内の新設を目標に検討へ, INTERNET Watch, 2002年6月3日
    現在、地方自治体のウェブサイトでは地域型JPドメインを利用する例が多く見られる。ただし、地域型JPドメインは一般にも開放されているため、電子自治体サービスを安心して利用できるよう、地方自治体専用の信頼できるドメイン空間が必要との意見が寄せられていたという。

  • LG.JPドメイン名について, 総合行政ネットワーク全国センター
    LG.JPドメイン名創設の目的 地方公共団体では、政府がe-Japan戦略に掲げる電子政府・電子自治体の実現に向け、住民・企業がインターネットを利用していつでもどこでも申請・届出等の手続が行える仕組みづくりを進めています。 匿名性が高いインターネット上で、住民・企業の皆様が安心して行政サービスを利用できるようにするためには、まずは行政サービスの提供者が地方公共団体であることを、住民・企業の皆様に分かりやすく示す必要があります。このため、政府機関等を収容するドメイン空間「GO.JP」に対応する、厳密に地方公共団体及び地方公務員を収容した住民・企業の皆様に分かりやすい地方公共団体行政専用のドメイン空間が必要とされました。 LG.JPドメイン名の創設は、地方公共団体組織認証基盤(LGPKI)の整備などと合わせて、地方公共団体が提供する電子行政サービスの信頼性を確保し、住民・企業の皆様が安心してサービスを受けられるようにすることを目的としています。 (略)

    行政サービス用ドメイン名とは? 行政サービス用ドメイン名とは、LG.JPドメイン名のうち、地方公共団体が行う行政サービスで、総合行政ネットワーク運営協議会が認定したものを登録対象とするドメイン名を指します。例えば、XX県と県内の市町村が共同で、「XX電子申請サービス」を提供する場合に、”SHINSEI-XX.LG.JP”といった行政サービス用ドメイン名を使用することが考えられます。(略)

このようにして登録が行われている lg.jp ドメインであるのだから、市民は、たとえドメイン名を正確に覚えていなくとも、今見ている画面のアドレスバーのURLのドメインが「…….lg.jp」でありさえすれば、とりあえず詐欺サイトでないことは信じてよいことになる。

山梨県、富山県、茨城県、徳島県がなぜ lg.jp ドメインを使わなかったのか、その言い分を聞いてみたいところだ。

アドレスバーなんかどうでもいいと思っているような連中(フィッシング詐欺が流行ればイチコロで騙されるような連中)が、「.net の方がクールだよねー」「これからは .info ですよー」といったノリでやったのではない、何か別の理由があるのだろうか。

WIDEはど素人か

IC2004の申し込みページを見に行った(初めて見に行った)ところ、こういう説明がされていた。

  • WIDEプロジェクトのメンバーでない皆様へ暗号化されたページについてのご注意
    WIDEプロジェクトのメンバーでない方が暗号化通信(SSL)を使った受付ページにアクセスすると、表示する前に警告が出ると思います。 ここでは、その警告がどういうものかについて説明して、どうすればよいかについて解説します。 (略) 今回インターネットコンファレンスの参加申し込みサーバでは、イベントの共催団体であるWIDEが、イベントの参加申し込みをする人の個人情報を、通信路上で保護するために、サーバ証明書を用意しました。 このサーバ証明書は、ブラウザにあらかじめ登録されているものではないので、申し込み開始時に「信用できるかどうかわからないサーバ証明書を使って暗号化通信をしようとしている」という警告が出ます。
「信用できるかどうかわからない」という表現が、書いた人物の無知ぶりを表している。
どうすればよいか 既にいろいろなチャネルから通知をさせて頂いているCFP等と、Webページの内容を照らし合わせていただき、「www.internetconference.org」の信憑性をご確認頂いた上で、サーバ証明書を使用してください。

「信憑性」を確認しろ? アホか。そういう問題ではないことをいいかげん理解してくれないか。プロだろあんたら。

「個人情報を通信路上で保護するため」に用意したと言っているのだから、盗聴されない通信路が確保されることが期待されているはずである。証明書の認証パスが検証できない状態では、中間者攻撃により通信内容が盗聴(復号され、再度暗号化して中継)されていても、ユーザ側に気付くすべがないことを理解しろ。

注意書きをするならこうだ。


本来ならば、個人情報保護のため、きちんとしたSSLで通信内容を暗号化するべきところですが、このためだけにお金をかけるのは避けたかったので、自前の実験用証明書でやっています。そのため、中間者攻撃による通信内容の盗聴はできてしまいますが、単純にパケットを傍受するだけの「ちょっと見」盗聴はいちおう防げています。その程度のものだと思って使ってください。

WIDEでさえPKIの基礎を理解していないのだから、電子政府がまともに構築されるはずがない。

moCAは証明書を使った実験を行なう為の認証局です。

おたくらいったいこれまで何を「実験」してきたのか。動かせばそれで実験なのか? そんな意味のない実験などやめてしまえ。カス。

RFIDタグのデータを暗号化することが禁止される事例

公正取引委員会が10月21日に以下の発表をした。

公正取引委員会は,キヤノン株式会社(以下「キヤノン」という。)に対し,キヤノン製カラーレーザープリンタに使用されるトナーカートリッジ(以下「カートリッジ」という。)にICタグ(注1)を搭載し,ICタグに搭載されたICチップに記録された情報の解析や書換えを困難にし,当該カートリッジの再生品(注2)が作動しないようにすることにより,再生業者(注3)が当該カートリッジの再生品を販売することを困難にさせている疑いがあったことから,独占禁止法の規定に基づいて審査を行ってきたところ,次のとおり,現在までに再生業者が再生品を再生販売することが可能となっていると認められたことから,審査を終了することとした。(略)

(注1) ICタグとは,ICチップとアンテナにより構成され,物品に搭載されるものであって,その中に当該物品の識別情報その他の情報を記録し,電波を利用することによりこれらの情報の読み取り又は書き込みができるものをいう。 (略)

公正取引委員会はこの文書の最後で次のように指摘している。

<別紙> レーザープリンタに装着されるトナーカートリッジへのICチップの搭載とトナーカートリッジの再生利用に関する独占禁止法上の考え方

近年,レーザープリンタに使用されるトナーカートリッジ(以下「カートリッジ」という。)にICチップが搭載される事例が増えている。レーザープリンタのメーカーがその製品の品質・性能の向上等を目的として,カートリッジにICチップを搭載すること自体は独占禁止法上問題となるものではない。しかし,プリンタメーカーが,例えば,技術上の必要性等の合理的理由がないのに,あるいは,その必要性等の範囲を超えて

(1) ICチップに記録される情報を暗号化したり,その書換えを困難にして,カートリッジを再生利用できないようにすること

(2) ICチップにカートリッジのトナーがなくなった等のデータを記録し,再生品が装着された場合,レーザープリンタの作動を停止したり,一部の機能が働かないようにすること

(3) レーザープリンタ本体によるICチップの制御方法を複雑にしたり,これを頻繁に変更することにより,カートリッジを再生利用できないようにすること

などにより,ユーザーが再生品を使用することを妨げる場合には,独占禁止法上問題となるおそれがある(第19条(不公正な取引方法第10項[抱き合わせ販売等]又は第15項[競争者に対する取引妨害])の規定に違反するおそれ)。(略)

RFIDタグの応用方法によっては、誰にでも読み書きできる状態とすることが義務付けられることもあり得るらしい。

その場合は、通信可能距離を数センチ以内とする必要があるだろう。

検索

<前の日記(2004年10月22日) 次の日記(2004年10月29日)> 最新 編集

最近のタイトル

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|
<前の日記(2004年10月22日) 次の日記(2004年10月29日)> 最新 編集