2007年02月12日
■ ファーストサーバ社は危険性をちゃんと顧客に伝えているのか
2年前の日記で、NHKエンタープライズ21の「RoBoCoN公式サイト」で「問い合わせ」という部分をクリックするとジャンプする https:// のページがオレオレ証明書で運用されていることについて書いた。証明書の発行者は「KSI First Server」と書かれていた。しかしこれがファーストサーバ社により発行されたものかは不明だった。 オレオレ証明書で運用されているこの状況は現在も変わっていない。そこで先月、ファーストサーバ社に以下の問い合わせをした。
Webサイトのデジタル証明書についてお尋ねします。 NHKのロボコン公式サイト http://www.official-robocon.com/top.html にある「問い合わせ」のページ https://www.official-robocon.com/FS-APL/FS-Form/form.cgi?Code=roboconmail05 でサーバ証明書の内容を確認しますと、 「発行者: KSI First Server」 と書かれています。 これは御社が発行されました証明書でしょうか? 以上の点、お尋ねします。
これに対し1月9日にファーストサーバ社より回答があった。それによると、これは、同社のレンタルサーバサービス利用者向けに、各種設定画面へのアクセス用として提供されている「プライベートサーバ証明書」だという。
その回答では、「時代背景の変化によりこの証明書に関して問題がございます事は弊社でも認識しておりまして」とあり、発行者の表記や運用規定を改定する準備をしているところとのことだった。
続けて以下の質問をしたが返事はなかった。
なるほど、それはすなわち、今回の事例は、レンタルサーバ利用者(サイト運 営者、この場合はNHK)が設定画面を操作する際に使用するために用意された SSLを、サイト運営者がサイトの一般利用者向けの SSLとして誤って使用して いるという意味でしょうか?
同時にNHKエンタープライズにも問い合わせをしていた。
このサイトのセキュリティの確認方法についてお尋ねします。 この問い合わせページ https://www.official-robocon.com/FS-APL/FS-Form/form.cgi?Code=roboconmail05 のSSLサーバ証明書(デジタル証明書)の内容を確認しますと、 「発行者: KSI First Server」 と書かれています。詳細を見ると E = anthrax@anthrax.ksi.ne.jp CN = KSI First Server OU = KSI Internet Service O = Kubota Systems Inc. L = Osaka S = Osaka C = JP とあります。これは大阪のファーストサーバ株式会社(旧クボタシステムズ)から 発行されたものをご使用になっているということと理解してよいでしょうか? 以上の点、お尋ねします。
すると1月10日に「高専ロボコン事務局」から回答があり、
お問合せフォームにつきましては、エラーメッセージの表示などで 大変ご迷惑をおかけしております。 ロボットコンテスト事務局はロボコン公式ホームページの運営にあたって、 ファーストサーバ株式会社のサービスを利用しています。 現在、正式なデジタル証明書の取得について申請中でございます。 なお、お問合せフォームへの記入内容につきましては、暗号化されて 送信されておりますのでご安心ください。
とのことだった。「暗号化されて送信されておりますのでご安心ください」は、事実に反する誤った説明である。
それから1か月が経過したが、状況に変化はみられない。
さらに検索して探してみると、他にも「KSI First Server」発行のオレオレ証明書で一般向けサービスを提供しているサイトがあるようだ。たとえば以下などがある。
- http://www.simple-stone.com/infomation/secu.htm
セキュリティ上はまったく問題ありませんので、安心して当店でのショッピングをどうぞごゆっくりとお楽しみ下さいませ。
このサイトもファーストサーバのレンタルサーバを使用しているようだ。
それどころか、ファーストサーバ自身のサービスにおいてもオレオレ証明書(第二種オレオレ証明書、証明書ポリシー及び認証局運用規定無し)が使われているようだ。
自分のところで正式な証明書発行サービスをやっているような会社が、なぜこういうことをするのか理解しかねる。