2007年05月13日
■ 役所のPKIの出鱈目ぶりも末期的 佐賀県警察本部の場合
この日記が扱うテーマのひとつは、「ひとたび発生した誤り解説は作業員のコピペによって際限なく広がっていく」という現象の社会的危険性(止めることの困難性)についてである。
- 蔓延する「サイバーパテントデスクのWWWサーバ」, 2007年1月20日の日記
- 会社のポリシーは会議室で決めてない、現場でコピペしてるんだ, 2006年9月23日の日記
- 「リンクお断りは普通」と人の心に種を蒔くAC, 2006年9月21日の日記
- やってはいけないセキュリティ設定指示 Top 15 (Windows XP SP2編), 2005年9月9日の日記
- 警察庁の指示がスパイウェア感染を招き金融被害をもたらしている可能性, 2005年7月22日の日記
- 岡山県と外務省が他人の著作物の知的所有権を主張中, 2005年7月18日の日記
- PKIよくある勘違い(9)「『詳細設定』ボタンで証明書の使用目的を制限できる」, 2005年4月10日の日記
- 官公庁の担当者は署名なしアプレットの存在を知らないのか, 2005年2月19日の日記
- 小学生にセキュリティ警告を無視させる埼玉県, 2005年1月14日の日記
- 広島市曰く「警告は出ますがセキュリティ自体には問題ない」, 高知県情報企画課曰く「とくにおかしいと思わない」, 2005年1月11日の日記
その意味で、真似されやすいインチキ文を最初に書いた者の罪は重い。
昔、2002年3月に総務省が電子申請システムを最初に公開したとき、ルート証明書をインストールするよう一般市民に指示しているのを見て、「これは絶対ろくなことにならない」と予感した。「安全にインストールさせれば別に問題ない」といった技術論はいかにも出てくるわけだが、ろくでもない説明が書かれて伝染することは目に見えていた。その末路が上の広島市、高知県、埼玉県などの事例であった。
2002年に総務省はこういう解説ページを作っていた。
- 安全な通信を行うための証明書について, 総務省 (archive.org の記録)
こんな文章が想定される読者達に理解されるはずもないわけだが、「安全な通信を行うための証明書」などという珍妙な用語がこのとき創造され、これがその後、他の省庁や地方公共団体にコピペされて伝染していった。
これらの中には劣化コピーもあり、証明書の真正性の確認方法が出鱈目だったり、そもそも確認の必要性が省略されていたりした。
そして去年、総務省CAとLGPKIについては一応の解決(Windows XP + IE 限定)がなされた。
- 政府・官公庁の証明書をMSがWindows Updateで配布, スラッシュドットジャパン, 2006年9月30日
さて、話を現在に戻す。
佐賀県警察本部のWebサイト http://www.saganet.ne.jp/kenkei/ *1 に「佐賀県警察電子申請システム」というコーナーがある。
佐賀県警察電子申請システムでは、インターネット通信の安全を確保し、盗聴等を防ぐために、SSL暗号化技術を導入してデータの暗号化を行っています。こちらをご覧ください。
と書かれているのだが、「こちらをご覧ください」をクリックすると、オレオレ証明書の警告が出る(図2)。
よく見ると、発行者が「SecureSign Public CA1」となっている。これは、日本認証サービスが発行する証明書の場合と同じ発行者名だ。日本認証サービス発行の証明書なら警告は出ないはず(IEでは出ない)なのに、この警告が出るというのは、おそらくこれは第六種オレオレ証明書なのだろう*2。
第六種オレオレ証明書
正規の認証局(中間認証局)から取得したサーバ証明書であるが、中間認証局の証明書をサーバに設置していないため、クライアントが認証パスを検証できないもの。
一般に、サーバ証明書を設置するときは、サーバ証明書だけでなく、認証局の証明書(中間認証局の場合)も一緒にサーバに設置することになっている。このことは、例えばベリサイン社が次のように説明している。
- 中間認証局の証明書はなぜ必要なのでしょうか, 日本ベリサイン ヘルプデスク
Q:中間認証局の証明書はなぜ必要なのでしょうか
グローバル・サーバIDを取得した場合は、中間CA証明書のインストールが必要とあります。 中間CA局の証明書はなぜ必要なのでしょうか。
A: グローバル・サーバIDは、以下のように 3段階の階層で証明書を検証する構造になっています。 3段階の階層構造のサーバIDをウェブサーバにインストールする場合、中間認証局の証明書(中間CA証明書)もあわせてインストールする必要があります。(以下略)
この作業を怠ると第六種オレオレ証明書の警告が出る。民間サイトでこのミスをしているところに出くわすことは滅多にない。
で、この警告を無視して先に進んでみると、リンク先のページは驚くべき内容になっていた。
もうどこから突っ込もうか目移りしてしまうほど滅茶苦茶に出鱈目なことばかりが書かれている。*3
まず、「証明書のダウンロードはこちらより行い」とあるリンクをクリックすると、証明書ファイル「PWSCA.cer」が得られる。この証明書ファイルは何だろうか。内容を見てみると図4のようになっている。
これは、日本認証サービス(株)の中間認証局証明書だ。つまり佐賀県警は、自分のサーバに設置するべき中間認証局証明書を、自分はやらないで、ユーザに入れろと指示しているのである。
しかも、これのことを「アプリケーションCAの自己証明書」だとか言っている。「アプリケーションCA」とは何のこと(のつもり)かというと、LGPKI(地方公共団体組織認証基盤)の「アプリケーションCA」のことだろう。しかし、佐賀県警はSSLにLGPKIを使っていない。(日本認証サービスから証明書を買っている。)
このことについて、4月16日に佐賀県警に電話して「間違いだよ」と伝えた。電話に出たのはヘルプデスク担当の人で、県警職員ではなく業者の者だという。
話をちゃんと聞いてくださる方だったので話はわりと早く通じた。中間認証局証明書のサーバへのインストールが必要なことも理解してもらえたし、この解説が滅茶苦茶に間違っていることも理解してもらえた。
話を聞いてみると、システム開発はNEC九州だが、サーバ証明書を設定したのは別の業者で、この説明ページを書いたのは(また別の業者である)ヘルプデスク担当の自分だという。どうしてこんな内容のことを書いたのかを聞いてみたところ、他のサイトに書いてあったのを参考に書いた(真似した)のだという。
2002年の総務省文書から始まった劣化コピーもここまで行き着いたわけだ。おそらくこれ以上酷くはなりようがないだろう。
ヘルプデスクの人は、「指摘された事項を報告書に書いて県警職員に渡す」と言っていたが、あれから4週間経った今、証明書の設定も直っていないし、出鱈目解説も削除されていない。
■ 佐賀県がCP/CPSなしに独自CAのルート証明書を市民に入れさせていた
佐賀県は今年1月の時点で、図5のように、「Spade CA」などと自称する独自CAのルート証明書を一般利用者にインストールさせていた。
安全なインストール方法の説明も見あたらないが、それ以前に、CP(証明書ポリシー)もCPS(認証局運用規定)も見あたらない。そこで、メールで以下の質問を送ってみた。
Date: Mon, 15 Jan 2007 22:25:36 +0900 From: Hiromitsu Takagi <********@takagi-hiromitsu.jp> To: denshi-kencho@pref.saga.lg.jp Subject: Spade CAの証明書ポリシーおよび認証局運用規定について 電子申請システムについてお尋ねします。 電子申請システムApplet証明書の設定方法 https://www.pref.saga.lg.jp/citizenH/help/appletnavi/appletsign.htm によれば、佐賀県電子申請システムを利用するにあたっては、「佐賀県独自CA (Spade CA)のルート証明書のインストールが必要とのことですが、 「Spade CA」の証明書ポリシーおよび認証局運用規定(CP/CPS)はどこにあり ますか? 以上の点、お尋ねします。
すると、翌日に、佐賀県統括本部情報・業務改革課から、以下の内容の回答があった。
現在、電子申請システムでアプレット署名に使用するコーザサイニング証明書に ついては、佐賀県独自のプライベートCA証明書spadeCAを用いていますが、 ご質問の「Spade CA」の証明書ポリシーおよび認証局運用規定(CP/CPS)が ないことなどから、LGPKIでコードサイニング証明書を発行する予定としており、 できるだけ早い時期に移行するため、現在作業を行っているところです。
残念ながらどういう経緯で独自CAにしたのかは聞きそびれた。
その後、「Spade CA」は廃止され、佐賀県から「電子申請システムApplet証明書の設定方法の変更について」という告知が出ている。
佐賀県といえば、かつて、「電子申請システムのモニターアンケート」を実施して、「証明書のインストールは簡単」という結論を出していたところだ。
- 佐賀県のアンケート結果「証明書のインストールは簡単」, 2005年6月28日の日記
都道府県単位で比較すると、最近では佐賀県が最も劣悪と言える。
広まってはいけないものがどんどん広まってゆくという点では winny と通じるところがあるな
信頼性の低い情報ほど広まりやすい 「役所のPKIの出鱈目ぶりも末期的 佐賀県警察本部の場合」というエントリでセキュリティにおけるインチキ文の蔓延が嘆かれている。残念なことに間違った情報ほど広まりやすい。より正確に言えば、信頼性の低い情報ほど広まりやすい。 得た
- ココログ [stressfulangel cocolog] ×18 : 13, 2, 1, 1, 1 (2023-01-22)
- スラドarticle [08/01/04/0213252] ×3 : 2, 1 (2018-01-05)
- https://www.google.co.jp ×29 (2015-09-23)
- はてなブックマークコメント ×46 : 25, 6, 6, 3, 2, 1, 1, 1, 1 (2015-02-03)
- はてなダイアリー [ktat] ×4 : 2, 1, 1 (2014-07-04)
- スラッシュドットarticle [08/01/04/0213252] ×421 : 256, 108, 45, 3, 3, 2, 1, 1, 1, 1 (2013-01-04)
- ココログ [magicant txt] ×26 : 7, 6, 5, 4, 4 (2011-08-11)
- はてなダイアリー [ktat 20100312] ×29 (2010-03-12)
- はてなブックマークコメント [www.asahi.com/national/update/0309/SEB201003080063.html] ×70 (2010-03-09)
- はてなダイアリー [textfile] ×61 : 57, 2, 1, 1 (2009-01-03)
- はてなダイアリー [suikyojin] ×12 : 7, 2, 2, 1 (2008-10-08)
- http://www.asks.jp/users/mechag/50090.html ×13 (2008-09-10)
- スラッシュドットcomments [385798] ×61 : 16, 7, 4, 3, 3, 3, 3, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2008-07-28)
- はてなダイアリー [hosu 20070515] ×5 : 4, 1 (2008-03-31)
- http://unilab.web.infoseek.co.jp/honkowa/news2007.htm ×6 (2008-01-25)
- http://q.hatena.ne.jp/1190463094 ×5 (2007-09-23)
- http://notes.g20k.jp/community/BBSDetail?s_0_0_0_0_args1=111... ×7 (2007-07-30)
- はてなキーワード [anet.ne.jp] ×5 (2007-07-26)
- http://www.g20k.jp/community/Detail?s_0_0_0_0_args1=11154322... ×52 (2007-07-17)
- はてなダイアリー [washita] ×22 : 19, 1, 1, 1 (2007-07-16)
- http://blog.withit.jp/2007/06/20/ssl/ ×9 (2007-07-15)
- Seesaaブログ [mkt5126] ×11 : 5, 4, 1, 1 (2007-07-13)
- はてなブックマークコメント [4710805] ×5 (2007-07-02)
- http://mechag.asks.jp/50090.html ×27 (2007-06-22)
- http://unilab.web.infoseek.co.jp/honkowa/news.htm ×10 (2007-06-04)
- はてなキーワード [オレオレ証明書] ×6 (2007-05-25)
- 2ちゃんねる掲示板 [pcnews 1179246762] ×21 : 17, 2, 1, 1 (2007-05-25)
- http://www.shibuya.prv/nc/netblog.php ×9 (2007-05-23)
- http://www.shibuya.prv/nc/index.php?itemid=203 ×35 (2007-05-23)
- セキュリティホールmemo ×1267 : 1139, 117, 8, 3 (2007-05-22)
- はてなダイアリー [suikyojin 20070519] ×55 (2007-05-20)
- mixi diary [2489355] ×7 (2007-05-19)
- はてなキーワード [CP] ×7 (2007-05-19)
- はてなダイアリー [washita 20070517] ×6 (2007-05-17)
- はてなダイアリー [textfile 20070517] ×44 (2007-05-17)
- http://www.g20k.jp/community/BBSDetail?s_0_0_0_0_args1=11154... ×109 (2007-05-17)
- http://www.g20k.jp/community/Detail?s_0_0_0_0_args1=11154322... ×22 (2007-05-16)
- ime.nu /20070513.html ×91 (2007-05-16)
- http://www.ebgw.pref.iwate.jp/ecp/boardDetail.do?act=detail_... ×7 (2007-05-15)
- http://bsg.to/antena.html ×18 (2007-05-14)
- http://notes.g20k.jp/diary/Detail?s_0_0_0_0_args1=6117911442... ×5 (2007-05-14)
- http://wiki.tenteki.org/index.php?Sekizuka/一行コメント ×7 (2007-05-14)
- キーワード不明 ×60 / 佐賀県警 電子申請 ×38 / 佐賀県警 ×26 / 佐賀県警察本部 ×24 / 佐賀県警察 ×18 / SecureSign Public CA1 ×13 / 流出 ×13 / ルート証明書+高木 ×12 / 佐賀県警の電子申請システム ×11 / 佐賀県警 電子申請システム ×11 / 電子申請 佐賀県警 ×10 / 中間CA局 ×10 / pki takagi ×10 / securesign public ca1 ×8 / 警察情報セキュリティーポリシー 佐賀 ×7 / 第六種オレオレ証明書 ×7 / 中間認証局 必要性 ×6 / lgpki 中間証明書 更新 ×6 / 中間CA局証明書 ×5 / LGPKI 高木浩光 ×5 / 高木 日記 佐賀 ×5 / ルート証明書 -hiromitsu.jp ×5 / 高知県 LGPKI 独自 ×5 / windows pki 事例 ×4 / PKI ×4 / PKI 高木 ×4 / takagi pki ×4 / LGPKI 中間認証局 ×4 / コードサイニング アプレット アクセス制限 ×4 / CP/CPS ×4 / 佐賀県警察 電子申請 ×4 / PKI 佐賀県警 ×4 / 高木 CPS ×4 / コードサイニング証明書 ×4 / SecureSign 中間証明書 ×4 / 中間CA証明書 ×3 / 中間認証機関 の 必要性 ×3 / LGPKI 高木 ×3 / lgpki 中間ca ×3 / 出鱈目 ×3 / lgpki 高木 ×3 / 高木浩光の自宅の日記 ×3 / 高知県警察本部 ×3 / gpki 中間証明書 ×3 / 中間認証局 ×3 / 地方公共団体 PKI 高木 ×3 / 中間 証明書 ://takagi-hiromitsu.jp/diary/ ×3 / LGPKI 中間CA証明書 ×3 / プライベートCA CPS ×3 / コードサイニング オレオレ ×3 / 中間CA ×3 / プライベートCA 危険性 ×3 / コードサイニング証明書 独自証明書 ×3 / CA局 サーバ証明書 ×3 / PKIよくある勘違い -hiromitsu.jp ×3 / 3段階の階層構造 証明書 検証 ×3 / -hiromitsu.jp PKIよくある勘違い ×3 / PKI CP CPS文章 ×3 / securesign public ×3 / 佐賀警察本部 ×2 / 官公庁 オレオレ 認証局 ×2 / 高木 PKI ×2 / 総務省 オレオレ証明書 ×2 / applet pki ×2 / 認証局(CA)はどこにある ×2 / lgpki ssl ×2 / 中間認証局証明書 ×2 / windows xp ルート証明書 削除 ×2 / 佐賀県 役所 ×2 / "第六種オレオレ証明書" ×2 / pki monitor ×2 / securesign public ca ×2 / PKI 総務省 ×2 / 中間証明書 なぜ 必要 ×2 / 佐賀県警 高木 ×2 / アプレット オレオレ証明書 ×2 / 独自CA運用 ×2 / 高木浩光 中間CA証明書 ×2 / 中間証明書 なぜ必要 ×2 / PKI CPS ×2 / 高木 佐賀 ×2 / 独自CA ×2 / オレオレ証明書 -hiromitsu.jp ×2 / 佐賀県警 電子申請 業者 ×2 / アプレット署名 証明書 Subject 高木 ×2 / 電子申請システム 佐賀県警 ×2 / コードサイニング証明書 高木 ×2 / 高木浩光 LGPKI ×2 / PWSCA.cer ×2 / コードサイニング証明書 オレオレ ×2 / 佐賀県 警察 電子申請 ×2 / 高木浩光 SSL 告知 ×2 / 高木 佐賀県警 ×2 / xp 中間CA局 アクセス不可 ×2 / 中間CA証明書 なぜ必要 ×2 / 高木 岡山県 外務省 ×2 / 佐賀県 セキュリティ警告 ×2 / PWSCA ×2 / PKI CP CPS ×2 / LGPKI 中間証明書 ×2 / CAルート証明書 Internet Explorer lgpki ×2 / 出鱈目ぶり ×2 / 独自CA ルート証明書 ×2 / 県警 電子申請 ×2 / 独自CA局 ×2 / 高木 コードサイニング証明書 ×2 / 警察cpsシステムとは ×2 / 中間CA 何故必要 ×2 / LGPKI 中間 ×2 / 役所のPKI 高木 ×2 / コードサイニング applet ×2 / 佐賀県警電子申請システム ×2 / 証明書サービス 独自CA 構築 ×2 / 高木浩光 証明書 中間 ×2 / オレオレ証明書 コードサイニング ×2 / 中間証明書 検証 ×2 / PKI CP ×2 / 証明書 高木 LGPKI 佐賀 ×2 / 高木浩光 PKI ×2 / CA局 ×2 / lgpki 中間認証局 ×2 / 中間ca局証明書 ×2 / pwsca ×2 / 佐賀 電子申請 ×2 / 佐賀県警察 電子申請システム NEC ×2 / なぜ 中間CA証明書 必要 ×2 / 中間証明書 なぜ ×2
