2006年08月06日
■ 銀行スパイウェア犯と同じ手法でWindows XP SP2の警告を回避する警察庁電子申請システム
政府が整備を進める電子申請システムにおいて、中央官庁の大半がオレオレ証明書を使用し、オレオレ認証局をWebからダウンロードしてインストールするなどという不用意極まりない習慣を国民に植え付けようとしていたなか、警察庁だけは当初から違う対応をとっていた。
警察庁の電子申請システムはオレオレ証明書を使用しているものの、「警察庁認証局」のルート証明書をCD-ROMで入手しなければならないことになっている(第三種オレオレ証明書)。
警察庁認証局の自己署名証明書(ルート証明書)の入手
インターネットを利用して警察庁へ電子申請をしようとする場合には、通信の安全性を確保するために事前に以下の窓口に問い合わせて警察庁認証局の自己署名証明書(ルート証明書)を入手して下さい。
入手方法はCD-Rの手渡し又は、郵送による方法を用意しています。
素晴らしい。
ところがだ。4月に「署名用ソフトウェアのインストーラの更新について(平成18年4月21日)」という通知が出ていた。それによると、署名用ソフトウェアが更新されたからダウンロードせよという。
下記より、署名用ソフトウェアをダウンロードしてください。
この .zip ファイルには「警察庁電子申請・届出システムセットアップ.exe」という1個のファイルが格納されている。これに、電子署名(コード署名)がされていないのだ。
署名しない理由がわからない。せっかくオレオレ認証局をCD-ROMで事前に設定させているのだから、無料で好き放題にコード署名でもなんでも署名しまくりのはずなのに、なぜか署名していない。
署名を確認できない .exe ファイルの実行が必要になっているため、せっかく第三種オレオレ認証局証明書をCD-ROMだけで提供して守ってきたものが水の泡になって台無しだ。*1
しかも、中身が1個のファイルなのになぜかわざわざ .zip でアーカイブされている。.zip なので、Windows XP SP2でも、ダウンロード時に警告が出ない(ダウンロード前の確認では青色のアイコンの画面(図2)となり、「開く」を選択しても警告が出ない)。
そして、開いた .zip の中にある「警察庁電子申請・届出システムセットアップ.exe」のアイコンをドラッグしてウィンドウの外に出して起動すると、署名がないとの警告が出ない。
Windows XP SP2のセキュリティ機能を回避して .exe ファイルの起動で警告が出ないようにするため .zip でアーカイブして配るというこのテクニックは、昨年の夏に発生した「インターネットバンキング利用者を狙ったスパイウェア」事件で、犯人がスパイウェアを被害者に実行させやすくするのに使ったテクニックと同じである。
(略)しかし、スパイウェアは約10日前の6月25日、T社長のPCへ侵入していた。経営するオンラインショップに届いたある問い合わせメールと共に入り込んでいたのだ。
件名:破損の件!
先日、スクエアテーブルを購入致しました○○です。 到着時、梱包が少し潰れていたので、もしかしてと開封すると割れてはいませんでしたが、ボードにヒビが入っていました。返品交換等の対応は可能でしょうか?参考に到着時の写真を送ります。ご連絡、お待ちしています。○○写真とされる添付ファイルには、Zipで圧縮された実行ファイルが入っていた。素早く対応しなければと、T社長は添付ファイルをクリックした。しかし、写真は存在せず、購入者リストにも○○の名前はなかったので、そのままになっていた。
「防ぎようがなかった……」、ネット銀不正引き出しの被害者語る, ITmediaニュース, 2005年7月22日
■ 政府機関は政府の電子申請システムを使えない
内閣官房の「政府機関の情報セキュリティ対策のための統一基準」は次のように定めている。
5.3.3 ウェブ
遵守事項
(2) ウェブの運用時
【基本遵守事項】
(a) 行政事務従事者は、ウェブクライアントが動作する電子計算機にソフトウェア をダウンロードする場合には、電子署名により当該ソフトウェアの配布元を確認すること。
したがって、政府機関の行政事務従事者は上の「警察庁電子申請・届出システムセットアップ.exe」を開くことはできない。
各省庁が、電子申請システムの利用にあたってインストールを必須としている配布物について、電子署名されているかどうか調べてみたところ、大半が署名していないか、不適切な署名になっている。
- 内閣府, △ 第二種オレオレ証明書による署名(なぜかタイムスタンプは VeriSign)(名前が「SinseiServer(Naikakufu)」とデタラメ。これはサーバなのか?)
- 警察庁, × 署名なし(上記参照)
- 防衛庁, − 運用停止中
- 金融庁, ○ 独自配布物なし
- 総務省, △ 第二種オレオレ証明書による署名 (正しいfingerprintの確認方法を説明していない)
- 法務省, × 署名なし
- 外務省, × 署名なし
- 財務省, − e-Govに移行
- 文部科学省, × 署名なし
- 厚生労働省, × 署名なし
- 農林水産省, × 署名なし
- 経済産業省, × 署名なし
- 国土交通省, × 署名なし
- 環境省, ○ 独自配布物なし
- 最高裁判所, △ 第二種オレオレ証明書による署名
これらの .exe ファイルを開く行為は、「政府機関の情報セキュリティ対策のための統一基準」に違反する。
■ せっかく購入した証明書をまるで無駄にする新潟県
それに比べて新潟県は、電子申請システムで配布している「新潟県申請・届出システム クライアントモジュール」にきちんとしたオレオレでない証明書でコード署名をしている。(VeriSign Class 3 コード署名認証局発行の証明書による署名。)
ところがだ。配布ページで配布されているファイル「ClientCS.exe」はこれではない。
「ClientCS.exe」はいわゆる自己展開型アーカイブ形式のファイルで、実行すると図5のように、「setup.exe」という1個のファイルが現れるようになっている。
なんのためにアーカイブファイルにしているのかさっぱりわからない。サイズを比べても、4.91 MBのファイルがたかが 4.66 MBになっている程度で、圧縮する意義なぞない。どんなファイルでもとりあえず「自己解凍」ファイルにしないと気がすまない時代遅れのパソコン通信マニアが作っているのだろうか。
そして、配布されている「ClientCS.exe」は署名されていない。
署名を確認するには、署名のない .exe を一か八か実行しないといけない。いったいなんのために証明書を購入したのか?
■ 日本の恥:アップデートプログラムに電子署名しない日本のパソコンメーカーたち
民間はどうか。
Windows XP SP2がリリースされてからまもなく2年が経とうとしている。当時は、ダウンロード時の警告機能が変わるということで、パソコンメーカーがユーザに告知をしていたものだ。
- [Windows XP] Internet Explorerで、ファイルをダウンロードしようとすると「セキュリティの警告」が表示されます。, AzbyClub - サポート:富士通, 2004年8月31日
こうした釈明でお茶を濁すのではなく、発行者を証明する署名をするように改善することがメーカーに求められていることは言うまでもない。MicrosoftがWindows XP SP2で機能改善することによって、そのように各社に促したわけだ。
2年間の猶予を経て、パソコンメーカー各社がどうなっているのか現状を調べた。各社が販売するパソコン用のアップデートモジュールの配布サイトについて調べ、できるだけ新しく配布されているファイルについて確認した。
- ソニー
VAIO | サポート
○ 署名あり(2006年7月29日)
- 富士通
ダウンロード - AzbyClub - サポート:富士通
× 署名なし(2006年8月1日)
- 日立
ビジネス向けPC FLORA:ダウンロード
× 署名なし(2006年8月3日)
- 東芝
dynabook.com | サポート情報
× 署名なし(2006年07月26日)
- NEC
121ware.com > 修正・サポートプログラム
× 署名なし(2006年7月31日)
- 松下電器
ダウンロード | パナソニックパソコンサポート
× 署名なし (HTTPS によるダウンロードになっているが、ダウンロードボタンを押す前の画面が http:// であり、HTTPS によるダウンロードになっていることをユーザが確認する術がないので意味がない。)(2006年3月2日)
- シャープ
サポート情報 | メビウス:シャープ
× 署名なし(2006年8月1日)
- エプソン
エプソンダイレクト ダウンロード (BIOS・ドライバ):機種選択
× 署名なし(2006年7月11日)
- IBM (Lenovo)
Lenovo サポート & ダウンロード
○ 署名あり(2006年4月5日)
- HP
日本HP サポート
○ 署名あり(2006年6月6日)
- DELL
Support.Jp.Dell.Com - ファイルライブラリ
○ 署名あり(2006年7月12日)
ソニー以外の国産メーカーは全滅だ。そして、外資系は全部が署名している。
もし外国がパソコンの調達で「アップデートプログラムに電子署名があること」を要件に入れるようなことがあれば、これは非関税障壁となりかねない。
それ以前に、日本政府は「政府機関の情報セキュリティ対策のための統一基準」で、「電子署名により当該ソフトウェアの配布元を確認すること」としているのだから、ソニー以外の国産パソコンを購入すると、オンラインアップデートできなくなる。今すぐ、調達要件に「アップデートプログラムに電子署名があること」を入れて、国内メーカーの改善を促すべきだろう。
横並びで誰もやらない。まったく日本の恥だ。
追記
Toshiba Americaのダウンロードサイトを調べたところ「TOSHIBA AMERICA INFORMATION SYSTEMS, INC.」で署名されていた。Fujitsuは署名していない。
*1 上のダウンロード画面でリンクされている syomei.zip のURLは https:// になっている。https://www.shinsei.npa.go.jp/ はオレオレ証明書で運用されているものの、ここの利用者は事前にCD-ROMで入手した警察庁認証局のルート証明書を設定しているはずなので、SSLによって改竄されることなくダウンロードすることができるはずだから、これでよいのだという考えなのかもしれない。しかし、本当に https:// でダウンロードされたかどうかを確認することができない。なぜなら、リンク元のダウンロードの画面が http:// だからだ。このページが攻撃者によって改竄されていれば、リンク先も http:// に変えられてしまうだろう。そして、ダウンロードする .exe ファイルも偽物に改竄されてしまう(関連事例:「SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも」)。もちろん、ユーザが自力でリンク元のダウンロードの画面でアドレスバーのURLを編集して https:// にしてアクセスしなおして、安全を確認の上でダウンロードすることはできる。しかし、ユーザにそのような習慣付けを求めるのは酷である。「個人情報やパスワードを入力する前に見ている画面が https:// であることを確認すること」という利用の鉄則はどうやってもユーザが覚える以外にないが、ファイルのダウンロードについてまでそれを必須とするのは、ルールの増やしすぎだ。それよりも、ダウンロードした .exe ファイルの起動時にコード署名を確認するというルールで統一するべきである。Windows XP SP2 で、ダウンロードファイルの署名の確認が自動的に行われるようになったのだから。
銀行スパイウェア犯と同じ手法でWindows XP SP2の警告を回避する警察庁電子申請システム(高木浩光@自宅の日記 2006年8月6日)にTB。上記ページの中段に、図4: 新潟県電子申請システムが...
銀座カラー脱毛口コミについて
- はてなブックマークコメント ×42 : 18, 12, 4, 3, 1, 1, 1, 1, 1 (2024-02-03)
- https://magic3.net ×8 (2018-10-07)
- https://www.bing.com/ ×4 (2017-11-06)
- https://www.google.co.jp ×20 (2015-08-25)
- スラッシュドットarticle [06/09/06/1414208] ×272 : 166, 50, 49, 2, 2, 1, 1, 1 (2012-09-24)
- はてなダイアリー [Dr_G 20100320] ×13 : 11, 1, 1 (2011-07-16)
- スラッシュドットcomments [328733] ×22 : 7, 3, 3, 3, 2, 1, 1, 1, 1 (2011-04-20)
- はてなダイアリー [Dr_G] ×8 (2010-03-21)
- http://www.at-pop.com/ap/windows xp sp2 ダウンロード/ ×5 (2009-06-28)
- http://www.stmpop.com/sp/shinsei/ ×4 (2009-06-16)
- はてなブックマークコメント [285988/@IT:Windows TIPS -- Knowledge:XP SP2のZoneIdとは?] ×6 (2009-06-10)
- スラッシュドットcomments [331582] ×118 : 38, 11, 11, 9, 8, 7, 5, 4, 4, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2009-04-25)
- http://www.soft.fujitsu.com/fscripts/what-reading.asp?id=305... ×67 (2008-11-25)
- Seesaaブログ [mkt5126] ×4 : 1, 1, 1, 1 (2008-09-22)
- http://www.wd-all.com/wd/無料ダウンロード/kanren.html ×5 (2008-07-02)
- http://www.saiyasuweb.com/4/c/ドライバー ×4 (2008-06-21)
- http://www.pop-wd.com/pop/無料ダウンロード/kanren.html ×28 (2008-06-15)
- http://www.wd-all.com/wd/ダウンロード/kanren.html ×32 (2008-06-11)
- はてなダイアリー [otn] ×3 : 1, 1, 1 (2008-05-21)
- http://itnavi.net/news200608.html ×7 (2008-05-16)
- ココログ [kjunichi cocolog] ×11 (2008-03-19)
- http://com2net.biz/discovery/discovery.htm ×18 (2008-03-15)
- fc2 blog [laboratory.blog2] ×10 : 8, 1, 1 (2007-09-08)
- ココログ [stressfulangel cocolog] ×49 : 39, 4, 3, 2, 1 (2007-08-27)
- はてなブックマークコメント [2493862] ×4 (2007-03-16)
- http://www.pagesupli.com/web/windows XP sp2 認証回避方法 ×8 (2007-02-23)
- http://www.pagesupli.com/web/windows XP sp2 認証回避/200 ×4 (2007-02-19)
- http://www.pagesupli.com/web/認証回避 方法 SP2 ×4 (2007-01-19)
- http://www.cworld2000.com/blog/archives/computers/security/ ×7 (2006-10-17)
- http://bakera.jp/hatomaru.aspx/htmlbbs/inthread/3858 ×7 (2006-09-21)
- bakera.jp/hatomaru.aspx/ebi/ [topic/2652/comment] ×22 (2006-09-21)
- はてなダイアリー [otn 20060807] ×5 : 3, 2 (2006-09-10)
- セキュリティホールmemo ×1048 : 763, 274, 10, 1 (2006-08-21)
- http://blog.ptlabo.net/index.php?id=06080051 ×37 (2006-08-14)
- はてなダイアリー [Buzzstyle 20060808] ×5 : 4, 1 (2006-08-13)
- http://unixluser.org/diary/?200608b&to=200608112S1 ×6 (2006-08-12)
- http://unixluser.org/diary/?200608b ×8 (2006-08-12)
- http://unixluser.org/diary/ ×117 (2006-08-11)
- ime.nu /20060806.html ×17 (2006-08-10)
- http://mediard.sm.sony.co.jp/fsw/wiki.cgi?page=HoneyPot ×16 (2006-08-08)
- http://domainfan.com/CS/blogs/mohno/default.aspx ×5 (2006-08-08)
- http://domainfan.com/CS/blogs/mohno/archive/2006/08/08/993.a... ×12 (2006-08-08)
- http://snowangel.jp/security/index.cgi ×6 (2006-08-07)
- mixi diary [239374] ×4 (2006-08-07)
- http://app-sec.sec.flab.fujitsu.co.jp/okubo/diary/diary.html... ×4 (2006-08-07)
- http://www.cuspy.org/planet/ ×4 (2006-08-07)
- http://snowangel.jp/security/ ×25 (2006-08-07)
- キーワード不明 ×330 / 認証回避プログラム ×52 / XP 認証回避プログラム ×32 / 申請銀行 ×25 / xp アップデート 認証回避 ×20 / windows xp 認証 回避 ×18 / xp 認証回避プログラム ×17 / コード署名 ×13 / 新潟県電子申請 ×13 / windows 認証 回避 ×13 / XP認証回避 ×12 / xp 認証 回避 ×12 / xp 認証回避 ×10 / zip ダウンロード 警告 ×10 / exe 署名 ×10 / 警察庁電子申請 ×10 / win xp 認証 回避 ×9 / windows xp 認証 回避 sp2 ×9 / windows xp 認証回避 ×8 / 電子署名 exe ×7 / XP 認証回避 ×7 / Windows XP 認証回避 ×6 / zip 電子署名 ×6 / exe 電子署名 ×6 / 高木 署名 ×6 / EXE 電子署名 ×6 / xp sp2 認証回避 ×5 / コード署名 無料 ×5 / 121ware.com スパイウェア ×5 / 自己証明 政府機関 ×5 / Windows セキュリティの警告 ZIP ×5 / windows 実行ファイル 署名 ×5 / CD-ROM メーカ 確認方法 ×4 / 警察庁認証局 ×4 / 第二種オレオレ証明書 ×4 / http://takagi-hiromitsu.jp/diary/20060806.html ×4 / 認証 回避 xp ×4 / windows 電子署名 ×4 / Windows XP 認証 回避 ×4 / windowsxp 認証 回避 ×4 / オレオレ証明書 -hiromitsu.jp ×4 / 日本のパソコンメーカー ×4 / 認証回避 xp ×4 / XP 回避 ×4 / exe XP 警告 ×4 / xp sp2 認証 回避 ×4 / xp 認証回避 sp2 ×4 / 新潟県 電子申請 ×4 / windows 認証回避 ×4 / セキュリティーの警告 回避 ×3 / ダウンロード時の警告 ×3 / オレオレ 証明書 警察庁 ×3 / 電子申請 高木 ×3 / 高木浩光 電子署名 ×3 / セキュリティの警告 zip ×3 / デジタル署名 exe ×3 / プログラム 署名 ×3 / 電子署名 Windows ×3 / https 使えない ×3 / ダウンロード 警告 出ない ×3 / windows アップデート 回避 ×3 / dell xp 認証回避 ×3 / windowsxp認証回避方法 ×3 / zip 署名 ×3 / セキュリティの警告 出ないように ×3 / Windows 電子署名 ×3 / zipファイル ダウンロード 警告が出ない ×3 / 日本の恥 ×3 / sp2 認証 回避 ×3 / windows XP sp2 認証 回避 ×3 / XPSP2 認証回避 ×3 / winxp 認証 回避 ×3 / sp2+メーカー ×3 / 実行ファイル 電子署名 ×3 / DELL XP 認証回避 ×3 / 高木浩光 自己署名証明書 ×3 / windowsXP アップデート 回避 ×3 / アップデート 回避 ×3 / EXE 署名 ×3 / -hiromitsu.jp オレオレ証明書 ×3 / SSL 証明書機関 ×3 / 銀行 スパイウェア ×3 / 財務省認証局のルート証明書 ×3 / windowsXP 認証 回避 ×3 / sp2 認証回避 ×3 / zip 警告 ×3 / セキュリティの警告 回避 ×3 / windowsxp 認証回避 ×3 / https オレオレ証明書 ×3 / WindowsXP認証回避 SP2 ×3 / オレオレ署名ドライバ ×2 / Windows 自己解凍 警告 ×2 / 第三種オレオレ証明書 ×2 / パソコン 購入 運用 ×2 / 新潟県 申請システム ×2 / ダウンロード 確認 出ない ×2 / 電子署名 実行ファイル ×2 / windows xp exe 警告 ×2 / Windows 実行ファイル 署名 ×2 / スパイウェア 入手 ×2 / https 証明書 警告 ×2 / 電子証明書 更新しない ×2 / 高木浩光 fingerprint ×2 / XP SP2 認証 回避 ×2 / 署名がない ×2 / exe 自己解凍 高木 ×2 / Windows 証明書機関 ×2 / windowsXP 認証回避 方法 ×2 / オレオレ証明書 政府 ×2 / ダウンロードファイル セキュリティ警告 回避 ×2 / ルート証明書 政府 ×2 / セキュリティの警告 exe ×2 / 高木浩光 松下電器 ×2 / 電子証明書 スパイウェア ×2 / 電子署名 オレオレ ×2 / 電子署名 ファイル ×2 / XP SP2 認証回避 ×2 / オレオレ 署名 ×2 / 高木浩光 東芝 ×2 / ウィンドズXP認証回避 ×2 / CD-ROM ソフトウェア 関税 ×2 / 高木浩光 アップデートプログラムに電子署名しない日本 のパソコンメーカーたち ×2 / http https 警告 ×2 / windows xp認証回避方法 ×2 / Windows xp 認証 回避 ×2 / 銀行 電子署名 ×2 / windows xp認証回避 ×2 / winXP 認証 回避 ×2 / windows アップデート ×2 / ダウンロード時に警告が出ない ×2 / XP アップデート ×2 / ルート証明書 日本政府 ×2 / ルート証明書プログラム ×2 / sp2 認証回避 ×2 / exe 警告 出ない ×2 / http://takagi-hiromitsu.jp/diary/20060806.html#p04 ×2 / xp exe 警告 ×2 / ファイルのダウンロード セキュリティの警告 表示させない ×2 / 電子署名 BIOS ×2 / windows XP SP2 認証回避 ×2 / 署名 プログラム ×2 / 日立 -hiromitsu.jp ×2 / windows xp sp2認証回避 ×2 / 自己署名証明書 警告 ×2 / windows xp zip ×2 / ダウンロード前 確認 警告 ×2 / パソコン サポート 日記 ×2 / WINDOWSXP SP2アップデート ×2 / XP 認証 回避 ×2 / 高木 zip セキュリティ ×2 / 環境省 オレオレ証明書 ×2 / 外務省 ルート証明書 ×2 / xp 認証回避 方法 ×2 / 警察庁 メーカー ×2 / 認証 XP 回避 ×2 / -hiromitsu.jp 自己署名証明書 ×2 / 電子署名 windows ×2 / ファイルのダウンロード セキュリティの警告 出ないように ×2 / オレオレ証明書 国土交通省 ×2 / 電子署名 XP ×2 / Windows コード署名 ×2 / 機関警告 ×2 / windows xp sp2 認証 回避 ×2 / XP システム プログラム ×2 / exe sp2 警告 ×2 / Windows 証明書 事項更新 ×2 / 証明書 スパイウェア ×2 / 警察庁電子申請・届出システム ×2 / 外務省 オレオレ証明書 ×2 / ログイン 高木 ページを開く前に 改竄 ×2 / Windows ルート証明書 更新 確認 ×2 / 新潟 電子申請 ×2 / Windows 自己証明書 ×2 / WindowsXP SP2 認証回避 ×2 / パソコンサポート 日記 ×2 / 電子署名 Class 2 ×2 / 日本政府 オレオレ証明書 ×2 / ZIP 警告 ×2 / 高木浩光 タイムスタンプ ×2 / windows exe 警告 ×2 / 日本のパソコン ×2 / windows コード署名 ×2 / コード署名証明書 富士通 ×2 / ダウンロードの確認が出ない ×2 / nec xp 認証回避 ×2 / WindowsXP認証突破 ×2 / XP 認証回避 方法 ×2 / WindowsXP 認証 回避 ×2 / セキュリティ 高木 ドライバ インストール ×2 / 高木浩光 ソフトウェア 証明書 ×2 / 銀行 Windows ×2 / windows xp 認証回避 dell ×2 / スパイウェア 銀行 ×2 / 電子申請 ×2 / xp 銀行 ×2 / 警察 PC 調達 ×2 / 電子署名 銀行 ×2 / 警察庁 電子申請 ×2 / ダウンロード 配布元 確認 電子署名 ×2 / ファイルのダウンロード 画面 出ない ×2