2005年01月20日
■ 日本のPKIを殺した真犯人は誰か
WebのPKIがもはや再起不能なまでにズダボロになったのには、日本特有の原因 もある。そう思える根拠が2つある。
日本サンマイクロシステムズ犯人説
10月17日の日記「電子政府つくるは素人ばかり」に書いた、つくば市の電子申請・届出 システムの事例では、署名Javaアプレットを閲覧者に実行させるにあたり、 つくば市は、「NTT BizLink,Inc」という得体の知れない認証局により発行さ れた「TSUAPP0002」という出鱈目な証明書*1を用いてアプレットに署名していた。 これについて市役所に問い合わせた際、担当者は、 「信頼できる団体と考えている。 矛盾した表示になっているが、これはマイクロソフトが……。」 とコメントしていた。
全くナンセンスなコメントなのだが、じつは、ここにこの問題の病根が垣間見 える。
たしかに、「信頼できない団体」という表現によって、図1のように表示され ると、あたかも NTT BizLinkという会社が、一般的な意味において、信頼でき ない会社であるかのように言われていると聞こえかねない。
そういう言い方をされたと受け取った人が、「信頼できる会社のはずだ」と 思考硬直してしまうのは、無理もないことかもしれない。 その帰結として、「マイクロソフトが」間違っているに違いないという結論探 しに陥るのも、わからないでもない。下手をすれば、「マイクロソフトは外国 の会社だから、日本の会社を信頼できない団体よばわりするのだろう」といっ た、劣等意識的ナショナリズム思考を招くことさえあるかもしれない。
ちなみに、この警告を出しているのは、Sun Microsystems社製の「J2RE (Java 2 Runtime Environment)」であり、マイクロソフトは無関係である。
じつは、この「信頼できない団体」という表現は、 サンマイクロシステムズによる誤訳なのだ。
この警告の原文を確認するため、英語版Windowsで動作させたときの様子を、 図2に示す。
このように、原文では、
The security certificate was issued by a company that is not trusted.
となっている。「信頼されていない」と訳すべきところを、 誰かが「信頼できない」という変な訳をあててしまった*3。
この種のPKIによる真正性の確認というものは、ユーザが信頼の基点として登 録している認証局からの認証パスが辿れるか否か(ユーザによって trusted なのか not trusted なのか)という、機械的な区別でしかないにもかかわら ず、「信頼できない団体」という誤訳が普及してしまったことで、主観的な評 価を指すかのような誤解を招いているのではなかろうか。
また、他の部分でも全般的に訳がいいかげんなため、意味がわかりにくくなっ ていることが、この重要な警告の理解を誤らせているように思える。たとえ ば、「issue」と「publish」が区別なく同じ「発行」として訳されているため、 認証局による証明書の発行と、証明書で署名したコンテンツのパブリッシュが 混同して読まれるおそれがあるし、「authentcity」(出所の正しさ、真正性) が「信頼性」と訳されていて、「trusted」の訳の「信頼」とごっちゃになって、 意味がボヤボヤにぼやけてしまっている*4。
マイクロソフトKK犯人説
「信頼できない」と「信頼されていない」の表現にいったいどれほどの違いが あるというのか? という疑問はあるかもしれない。「信頼されていない」と いう表現なら誤解を招かないかというと、怪しいものだ。
図3は、おなじみの、Internet Explorerで https:// ページにアクセスしたと きに出ることのある警告である。ここでは「信頼する会社」という表現が使わ れている。サンマイクロシステムズの受動態表現より、このように能動態で書 かれている方が、いくぶん誤解を招きにくくなっているかもしれない。
ところが、これもじつは誤訳なのだ。
英語版のInternet Explorerでは、この警告は図4のように表示される。
つまり、英語版IEでは、
The security certificate was issued by a company you have not chosen to trust. View the certificate to determine whether you want to trust the certifying authority.
このセキュリティ証明書は、信頼するところとしてあなたが選択して いない会社から発行されています。あなたはこの認証機関を信頼し たいかどうか、証明書を検視して決定してください。
と書かれているのである。きわめて的確な説明が書かれているのだ。
「信頼する会社から発行されていません」では、「信頼する」の主体が誰なの かが曖昧なままだが、原文では、はっきりと「あなたが」と書かれているし、 「信頼できない」とは大違いで、単に「選択していない」だけなのだというこ ともきっちりと書かれている。
いつからこの誤訳が始まったのかを調べてみた*5ところ、 図4の警告画面は、IE 5.0 から始まっていて、この誤訳はそのときからずっと 続いていたことがわかった。
IE 4ではこの警告は図5のようになっていた。
IE 4の時点では、J2REの警告と同程度に曖昧な書き方になっていたようだ。 それが、IE 5になったときに、図4のように改善されたわけだ。 ここの警告文の意味が誤解されないよう、メッセージを改善する必要性が、 当時のMicrosoftに認識されていたことが窺える。
それなのに、IEの日本語化を担当した翻訳者のいいかげんな仕事のせいで、 肝心の「you have not chosen to」の言葉が削られてしまった。
日本のPKIの崩壊は、ここから亀裂が入り始めたのだろう。見よう見まねで、 警告文の意味をだんだんずらして取り違えられてきた。
「信頼するところとしてあなたが選択していない会社から発行されています」→
→「信頼する会社から発行されていません」→
→「信頼されていない会社によって発行されています」→
→「信頼できない会社によって発行されています」
*1 「オレオレ」と名乗ってす らいない。電話口で「TSUAPP002だけど、今すぐ振り込んで」と言っているよ うなもの。
*2 つくば市のサイトは もう改修されているので、再現実験のため別のサイトを例として用いた。 ここでは、公的 個人認証サービスオンライン窓口のサイトで提供されれている署名Java アプレットを例にしている。なお、この警告は本来の使い方では出ないように なっている。 「本来の」とは、「 公的個人認証サービス利用者クライアントソフト」 (市役所で、住民基本台帳カードに公的個人認証機能を入れてもらう手続きを したときに貰えるCD-ROMに含まれている) をインストールしている場合のことで、そのときは、CD-ROMから必要なルート 証明書がインストールされているため、この警告が出ない。ここでは、それを インストールしていない状態でアクセスしたときの様子を例として用いている。 この警告について、「 公的個人認証サービスオンライン窓口利用者マニュアル操作手順編」は、 冒頭部分で、「セキュリティ上の重要な注意点」として、 「悪意のある第三者によって提供された偽のオンライン窓口である可能性があります」 として、「いいえ」ボタンを押すよう、指導している。
*3 J2RE 1.3 では、「このセキュリティ証明書は信頼されていない企業から発行されました。」 と訳されていたが、1.4 からこのおかしな訳に変更されている。これは、 1.5 においてもおかしな訳のままになっている。
*4 また、日本語版固有の問題で はないが、証明書が信頼されていない団体から発行されている場合にも、 「Publisher authenticity verified by ○○」と、あたかも真正性が検証さ れたかのように聞こえる文が書かれているのもまずかった。この点については、 J2RE 1.5 で「Publisher authenticity can not be verified」「発行者の信 頼性を検証できません。」と表示されるよう改善されている。(「発行者」 「信頼性」という訳のいいかげんさは残ったままだが。)
タイトルが大げさだが、「翻訳が間違っているのだ」という高木浩光さんのご意見。
http://takagi-hiromitsu.jp/diary/20050120.html#p01
まことにごもっとも。ルート証明書は「信頼されている」ものでも「信頼できる」ものでもなくて「自ら信頼する」ものなんです。...
- ココログ [stressfulangel cocolog] ×28 : 15, 9, 3, 1 (2023-04-01)
- https://goingmyway.net/?cat=1&paged=44 ×4 (2022-11-24)
- https://www.youtube.com/watch?v=xgYu8B8DAm4 ×6 (2017-05-10)
- https://www.google.co.jp ×7 (2015-09-04)
- http://www.infotop.jp/click.php?aid=35321&iid=52674&pfg=1 ×4 (2013-01-22)
- http://www.infotop.jp/click.php?aid=35321&iid=52285&pfg=1 ×4 (2012-12-04)
- http://www.bing.com/search?q=高木 セキュ&go=&qs=ns&form=QBLH&filt... ×5 (2012-09-10)
- http://hk-net.net/70000568/ ×4 (2012-09-06)
- http://www.infotop.jp/click.php?aid=35321&iid=48953&pfg=1 ×7 (2012-04-04)
- http://www.infotop.jp/click.php?aid=35321&iid=48263&pfg=1 ×7 (2012-02-12)
- http://www.shokokai.or.jp/05/0540111254/index.htm ×4 (2012-01-04)
- http://www5.ocn.ne.jp/~roy21/ ×5 (2011-12-25)
- http://p.tl/Zdt1 ×4 (2011-11-25)
- http://p.tl/9uT9 ×4 (2011-11-04)
- http://www.infotop.jp/click.php?aid=57219&iid=2613 ×4 (2011-04-30)
- http://www.infotop.jp/click.php?aid=57219&iid=33863 ×5 (2011-04-25)
- http://www.infotop.jp/click.php?aid=57219&iid=41068&pfg=1 ×5 (2011-03-30)
- ココログ [masta01 cocolog] ×6 : 4, 1, 1 (2011-03-07)
- http://www.infotop.jp/click.php?aid=57219&iid=40854&pfg=1 ×14 (2011-02-24)
- http://www.infotop.jp/click.php?aid=57219&iid=41372&pfg=1 ×6 (2011-02-15)
- http://www.infotop.jp/click.php?aid=57219&iid=41834&pfg=1 ×8 (2011-02-06)
- http://hb.afl.rakuten.co.jp/hsc/0cf81f78.5d025d04.0cf81f77.0... ×4 (2010-11-18)
- http://aboy.jp/sample1/100/ ×6 (2010-10-18)
- http://www.ark-west.net/touyoukinzoku.htm ×4 (2010-08-08)
- http://www.ark-west.net/nihonintku.htm ×4 (2010-08-07)
- http://cart05.lolipop.jp/LA03771172/ ×4 (2010-08-03)
- http://www.soku-c.com/index.cgi?ID=acm01&PG=affili ×5 (2010-06-24)
- http://dondon.in/shop/onlineshop/517h57t6ki.html ×12 (2010-06-22)
- スラッシュドットcomments [482290] ×5 : 2, 2, 1 (2010-01-22)
- www.nantoka.com/~kei/diary/ ×128 : 60, 33, 8, 7, 6, 4, 4, 1, 1, 1, 1, 1, 1 (2009-10-22)
- はてなダイアリー [matoriX 20050121] ×2 : 1, 1 (2008-05-12)
- http://take77.com/index.html ×4 (2008-04-08)
- はてなダイアリー [suikyo] ×16 : 15, 1 (2008-04-07)
- ココログ [kjunichi cocolog] ×35 (2008-03-28)
- sqs.cmr.sfc.keio.ac.jp tdiary ×114 : 51, 46, 6, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2007-10-27)
- http://ripper.blog.drecom.jp/archive/289 ×4 (2007-08-16)
- はてなダイアリー [stereocat] ×2 : 1, 1 (2007-05-27)
- エキサイトブログ [kazuho pg] ×6 : 3, 1, 1, 1 (2007-01-14)
- http://yamagata.int21h.jp/d/?category=ALL ×14 (2006-06-28)
- http://forums.firehacks.org/l10n/viewtopic.php?t=267&start=3... ×4 (2006-06-27)
- http://www.mars.dti.ne.jp/~e-plaza/nav.html ×6 (2006-04-26)
- はてなダイアリー [Hiekichi] ×13 : 11, 1, 1 (2006-03-15)
- はてなダイアリー [tetsu510] ×3 : 2, 1 (2005-04-30)
- ココログ [masta cocolog] ×24 : 19, 5 (2005-04-09)
- セキュリティホールmemo ×2878 : 2656, 173, 42, 3, 3, 1
- エキサイトブログ [kazuho 1844801] ×607 : 384, 223
- jcom.home.ne.jp [p-d-l] ×83 : 63, 17, 3
- http://www6.plala.or.jp/kozai/ ×65
- http://bewaad.com/20050122.html ×54
- http://bewaad.com/200501.html ×28
- http://blog.drecom.jp/ripper/archive/289 ×27
- はてなダイアリー [naka64] ×21
- http://l10n.kobe.hp.com:8880/xoops/modules/newbb/viewtopic.p... ×17
- http://apocrypha.loops.jp/a-news/index.html ×17
- http://www.alles.or.jp/~spiegel/200501.html ×16
- http://bewaad.com/index.html ×14
- はてなダイアリー [quintia 20050124] ×9
- http://moz.skillup.jp/jlp/viewtopic.php?t=267&postdays=0&pos... ×9
- http://shinshu.fm/MHz/95.83/ ×7
- http://moz.skillup.jp/jlp/viewtopic.php?t=267&start=30 ×7
- http://www.yotarou.net/mtdocs/archives/000209.html ×7
- http://tdiary.ishinao.net/20050121.html ×6
- エキサイトブログ [kazuho m2005-01-01] ×6
- http://yamagata.int21h.jp/d/?date=20050121 ×5
- http://www11.plala.or.jp/murasakikaguten/02 tenchou nikki 20... ×5
- http://callisto.comlab.soft.iwate-pu.ac.jp/~g031y177/uhi/ ×5
- http://blog.drecom.jp/ripper/ ×5
- はてなダイアリー [stereocat 20050123] ×5
- http://snowangel.jp/security/index.cgi?d=2005.01.24&r=1 ×4
- はてなダイアリー [gikazigo] ×4
- http://snowangel.jp/security/index.cgi ×4
- http://www.alles.or.jp/~spiegel/ ×4
- http://j.homeip.net/modules/wordpress/index.php?p=61 ×4
- PKI ×584 / pki ×166 / PKI ×35 / キーワード不明 ×20 / 日本のPKIを殺した真犯人は誰か ×17 / 真犯人 ×16 / 信頼する会社から発行されていません ×16 / 殺した ×11 / 日本サンマイクロシステムズ ×11 / j2re 1.5 ×10 / 日本PKI ×10 / 誤訳 ×9 / 高木 PKI ×8 / java PKI ×8 / java pki ×8 / このセキュリティ証明書は、信頼する会社から発行されていません。 ×7 / Java PKI ×7 / 日本のPKI ×6 / 、鬣サ、魏O ×6 / 日本の会社 ×6 / 高木浩光 ブラウザ 警告 つくば市 ×6 / PKIよくある勘違い -hiromitsu.jp ×6 / j2re 証明書検証 ×5 / このWindowsを検証できません ×5 / javawebstart 証明書 ×5 / pki java ×5 / ジャストシステム 警告文 ×5 / JavaWebStart ×5 / 高木浩光 PKI ×4 / このセキュリティー証明書は、信頼する会社から発行されていません ×4 / PKI java ×4 / このセキュリティ証明書は信頼できない団体 ×4 / j2re-1.5 ×4 / ズタボロ ×4 / 署名アプレット ×4 / 信頼できない団体 ×4 / PKI -hiromitsu.jp ×4 / このセキュリティ証明書は信頼できない団体によって発行されています ×4 / -hiromitsu.jp PKI ×4 / PKI 日本 ×4 / PKI Java ×4 / "Security certificate" ×3 / 高木先生 PKI ×3 / 警告文 英語 ×3 / 利用者クライアントソフト 問題 ×3 / 高木浩光 つくば市 セキュリティ 警告 ×3 / GPKI利用者ソフト ×3 / 日本 PKI ×3 / この Windows を検証できません ×3 / PKI 高木 ×3 / JavaWebStart 証明書 ×3 / 誤解を招かない日本語 ×3 / 20050120 ×3 / takagi certificate ×3 / -hiromitsu.jp 1.3 ×3 / このセキュリティ証明書は、信頼する会社から発行されていません ×3 / 発行者の信頼性を検証できません ×3 / pki ×3 / 高木 pKI ×3 / Java アプレット 署名 PKI ×3 / https pki ×3 / -hiromitsu.jp 殺した ×3 / JAVA PKI ×3 / ntt bizlink ×3 / 認証局証明書 サイト証明書 ×3 / 認証団体 真正性 ×3 / Trusted Link ×3 / ie 英語版 日本語化 ×3 / 警告文例 ×3 / j2re ×3 / セキュリティ証明書が信頼のある企業によって発行された ×3 / J2RE 1.5 ×3 / pki 図 ×3 / 殺 ×3 / pki -hiromitsu.jp/diary/ ×2 / 信頼されていない団体 ×2 / JavaWebStart 署名 ×2 / 信頼できる会社から発行されていません ×2 / 発行者の信頼性を検証できません。 ×2 / JavaWebStart 事例 ×2 / JavaWebStart 証明書 問題 ×2 / " PKI" ×2 / 証明書 信頼できない ×2 / certificate not trusted ×2 / PKI IE ×2 / IE 警告 メッセージ 英語 ×2 / サイト証明書 高木浩光 ×2 / 高木 IE ×2 / 高木浩光 証明書 表示 変な 会社 ×2 / ruby pki ×2 / PKI AS ×2 / javawebstart ×2 / 公的個人認証 -hiromitsu.jp ×2 / javawebstart https ×2 / 高木浩光 セキュリティ Windows -hiromitsu.jp ×2 / このセキュリティ証明書は、信頼する ×2 / IE PKI ×2 / 住基カード PKI ×2 / ルート証明書は信頼 ×2 / 日本PKI ×2 / 警告文 書き方 ×2 / HTTPS HTTP コンテンツ -hiromitsu.jp ×2 / IE 警告 ×2 / pki 高木 ×2 / マイクロソフトルート証明書 ×2 / https 警告 http ×2 / 公的個人認証 高木 ×2 / 高木浩光 信頼する会社から ×2 / 高木浩光 公的個人認証 ×2 / 信頼されていない 証明書 ×2 / オレオレ証明書 java -hiromitsu.jp ×2 / j2re-1.5. ×2 / PKI は ×2 / basic認証 -hiromitsu.jp ×2 / PKI の問題 ×2 / このセキュリティ証明書は、信頼できない団体 ×2 / Java WebStart 署名 認証局 ×2 / オレオレ証明書 公的機関 高木 ×2 / NTT BizLink ×2 / Firefox サイト証明書 オレオレ証明書 ×2 / NTT-Bizlink ×2 / PKI は ×2 / 信頼されていない ×2 / javawebstart http ×2 / -hiromitsu.jp pki ×2 / このセキュリティ証明書は 信頼する ×2 / このセキュリティ証明書は、信頼する会社から発行されていません。証明書を表示して、この証明機関を信頼するかどうか決定してください。 ×2 / 公的個人認証サービスクライアントソフト ×2 / 信頼する会社から発行 ×2 / 高木 セキュ ×2 / 英語 警告文 ×2 / IE https http ×2 / Javaアプレット 電子署名 ×2