高木浩光＠自宅の日記

2010年02月27日

■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか

「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。

「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。
SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1

2番目には解決策がない。

1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。

NTTドコモ: 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスすると、404 Not Found となる。
KDDI: 「EZサーバのIPアドレス帯域」のページをhttps:// でアクセスすると、404 Not Found となる。
ソフトバンクモバイル: 「Yahoo!ケータイにて利用するIPアドレス帯域」のページは、https:// でもアクセスできる。
イー・モバイル: 「IPアドレス帯域」のページは、https:// でアクセスしようとしても、つながらない。ポートが遮断されている。

NTTドコモとKDDIは、ちゃんとSSLを稼働させているのに、なぜかあえて 404 Not Found にしている。せっかくSSLを正しく証明書を取得して稼働させているのに、どういうことなのか。

この違和感は、金融機関のサイトについても以前から気になっていた。

金融機関にとっては、連絡先の電話番号なども重要な情報であり、すり替えられたりしないよう、安全に閲覧できる手段を用意していてしかるべきである。それなのに、大手金融機関が、どういうわけか、それを実施していない。

以下は、「銀行」でGoogle検索して上から出てきた順に、各金融機関について現状を調べたものである。

三菱東京UFJ銀行

三菱東京UFJ銀行の「お問い合わせ先」ページ

上のページを https:// でアクセスした様子
（akamaiのサーバ証明書。ホームページをSSL対応にするつもりがないケース。）

三井住友銀行

三井住友銀行の「お問い合わせ先」ページ
（重要な用件の連絡先が書かれている。）

上のページを https:// でアクセスした様子
（EV SSLまで用意されているのに、404 Not Found になっている。）

りそな銀行

りそな銀行の「お問合せ」のページ
（重要な用件の連絡先が書かれている。）

上のページを https:// でアクセスした様子
（SSLは正常に用意されているのに、404 Not Found になっている。）

みずほ銀行

みずほ銀行の「お問い合わせ」のページ

上のページを https:// でアクセスした様子
（SSLのサーバが稼働していない。ホームページをSSL対応にするつもりがないケース。）

イーバンク銀行

「お問い合わせ」ページが見つからなかったのでスキップ。

ゆうちょ銀行

ゆうちょ銀行の「お問い合わせ」ページ

上のページを https:// でアクセスした様子
（SSL用の別サーバ wwws.jp-bank.japanpost.jp の証明書。ホームページをSSL対応にするつもりがないケース。）

画面キャプチャ

別サーバ「wwws」の同じパス名に https:// でアクセスしてみた様子
（404 Not Found。別サーバで用意しているわけではないらしい。）

なんと、このように、上位5行のいずれも、問い合わせ先電話番号等を https:// ページで閲覧できるようにしてくれていない。

2008年9月にフィッシング対策協議会が公表した「フィッシング対策ガイドライン」にも、次のように書かれている。

【要件】 ◎Webサイト運営者の連絡先及びガイダンス等、顧客に間違いなく情報を伝える必要のあるページはSSL/TLSで保護すること

SSL/TLS には、機密性保護に加え、アクセスしている Web サーバの正当性(ドメイン名を含めたサーバ名と運営者との関係について認証局が確認をとっているということ)を検証する機能が備わっている。Web サイト、Web サービスに関する緊急時の連絡先及びガイダンス等、Web サイト運営者から正しく情報を伝える必要のあるページは SSL/TLS でのアクセスを可能とし、顧客が Web サイト運営者からページコンテンツが提供されていることを確認する手段を提供することが望ましい。

フィッシング対策ガイドライン, フィッシング対策協議会, 2008年9月10日

これがぜんぜん守られていない。どうしてこんなことになっているのだろうか。

ここで思い出すのが、昔からしばしば、「https:// のページは http:// でアクセスできてはいけない」などと、出鱈目なことを言う自称セキュリティ屋がいたことだ。インターネットバンキングのSSLサイトを http:// でアクセスして、アクセスできると「危ない銀行だ」などと出鱈目なことを言いふらしているのがいた。

最近でも、以下の文書がそういうことを言っている。

適切に HTTPS を使うことで通信の盗聴・改ざん・なりすましから情報を守ることができます。重要な情報を扱う場合には HTTPS で通信を行う必要があります。また特別な理由がない限りは HTTPS でアクセス可能なページは、HTTP でのアクセスを提供しないことが望ましいでしょう。

発注者のためのWebシステム/Webアプリケーションセキュリティ要件書, 株式会社トライコーダ, 2009年4月

「特別な理由がない限り」って何？特別な理由って何？理由があればいいの？理由がないときはなぜ提供しちゃいけないの？ *2

https:// のはずのページが攻撃者によって http:// にすり替えられることを懸念してのつもりかもしれないが、そんなのは、サーバ側で http:// を止めたところで解決にならない。攻撃者は https:// へ中継するだけだし、中継しないでそのまま偽ページを返してもいい。結局のところ、利用者自身が、見ている画面が https:// になっていることを自力で確認しないかぎり、SSLは機能しない*3のであって、サーバで http:// が稼働しているか否かは関係ない。

こういう似非セキュリティコンサルの指摘を真に受けて守ろうとするとどうなるか。

A社ホームページ http://www.example.jp/ のうち、重要な情報を掲載するページを https:// でも閲覧できるようにと、SSLを導入したとする。https://www.example.jp/important.html というページができることになるが、このSSLページは http:// でもアクセスできることになる。セキュリティコンサルが言う要件に違反してしまう。

こんな本末転倒な話があるか。似非コンサルの戯言など無視して、https:// でも閲覧できるようにするべきだ。http:// で閲覧するか https:// にするかは利用者が選ぶことだ。

このままでは、新幹線車内など公衆無線LANから銀行の電話番号を確認できないわけで、本来、こういうことは利用者がどんどん要望を出していってしかるべきことだ。私も、自分が使っている銀行については、週明けにでも電話で要望したい。

*1 これは、2007年6月29日の日記「サブスクライバーID をパスワード代わりに使うべきでない理由」に書いた。図を再掲しておく。

通信路上の攻撃者がキャリアのIPアドレスからの任意のサブスクライバーIDを送信する様子
（2007年6月29日の日記「サブスクライバーID をパスワード代わりに使うべきでない理由」の図2より再掲）

「通信路上の攻撃者なんているのか」という疑問に対しては、2008年6月3日の日記「通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか？」で紹介した、さくらインターネットのLAN上でARP spoofing攻撃が発生した事件がその実例にあたる。

*2 あいかあらず上野宣がテキトーなことを書いているわけだが、「特別な理由がない限り○○が望ましい」で通るんだったら、どんな要件だっていくらでも書ける。要件を書く方は何も考える必要がない。

*3 「安全なWebサイト利用の鉄則 / よくある質問と答え」参照。

本日のTrackBacks(全100件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20100227]

▼ Web担当者Forum:御社の企業情報ページはhttpsでアクセスできますか？ (2010年03月02日 10:02)

今日は、企業サイトで意識するべき「正しい情報提供」の手法について。企業情報ページの連絡先情報やIRページなど、正しい情報を伝えるべきページは、httpsでアクセスできるようにして

本日のリンク元

はてなブックマークコメント ×406 : 214, 102, 55, 8, 7, 7, 4, 4, 3, 2 (2024-01-09)
https://webtan.impress.co.jp/e/2010/03/02/7496 ×48 (2017-10-17)
https://www.bing.com/ ×57 (2016-01-12)
https://www.google.co.jp ×154 (2015-08-20)
スラドarticle [11/03/25/0111246] ×6 (2015-07-06)
スラドarticle [15/01/16/0345236] ×37 (2015-06-11)
スラッシュドットarticle [15/01/16/0345236] ×337 : 332, 3, 1, 1 (2015-05-11)
スラッシュドット ×19 : 5, 4, 3, 1, 1, 1, 1, 1, 1, 1 (2015-03-26)
NAVERまとめ [2142127930893154101] ×10 : 9, 1 (2015-01-19)
Twitter [1] ×12 : 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2015-01-17)
livedoor Blog [manamerit] ×7 (2015-01-16)
Twitter [HiromitsuTakagi] ×9 : 6, 2, 1 (2015-01-16)
http://twitmatome.bogus.jp/archives/24779 ×85 (2015-01-16)
http://sns.augi.jp/?m=pc&a=page_fh_diary&target_c_diary_id=4... ×8 (2015-01-16)
Twitter [Mihoko_Nojiri] ×3 : 2, 1 (2015-01-15)
http://gigazine.net/news/20150115-headline/ ×1336 (2015-01-15)
http://twilog.org/HiromitsuTakagi ×5 (2015-01-15)
https://www.smartnews.be/ ×4 (2015-01-15)
http://it.ej-radar.com/tweets/index/code=HIROMITSUTAKAGI.T/d... ×4 (2015-01-15)
http://hatenafilter.com/it ×6 (2015-01-15)
http://twitterrific.com/referrer ×14 (2015-01-15)
http://www.andr0o0id.com/?p=5618 ×17 (2014-04-21)
スラッシュドットarticle [11/03/25/0111246] ×178 : 73, 52, 30, 19, 3, 1 (2013-03-11)
スラッシュドットarticle [12/11/15/0221251] ×645 : 478, 155, 6, 5, 1 (2012-11-16)
スラッシュドットcomments [584617] ×11 : 6, 1, 1, 1, 1, 1 (2012-11-16)
スラッシュドットcomments [12] ×70 (2012-11-15)
http://search.fenrir-inc.com/?hl=ja&channel=sleipnir_2_w&saf... ×6 (2012-10-13)
はてなブックマークコメント [d.hatena.ne.jp/essa/20120525/p1] ×7 (2012-05-27)
http://websearch.rakuten.co.jp/Web?tool_id=1&ref=chext&qt=ht... ×4 (2012-05-10)
Twitter [matsuu] ×6 : 4, 1, 1 (2012-02-02)
http://green.search.goo.ne.jp/search?MT=http https&IE=UTF-8&... ×18 (2012-01-24)
http://www.onaneet.org/blog/archives/3202 ×84 (2011-09-15)
スラッシュドットcomments [526817] ×130 : 34, 32, 17, 16, 7, 6, 5, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1 (2011-05-17)
http://websearch.rakuten.co.jp/?tool_id=1&rid=2000&qt=http h... ×4 (2011-03-23)
http://www.bugbearr.jp/?日記/2010-03-13 ×4 (2011-03-04)
www.nantoka.com/~kei/diary/ ×17 : 4, 4, 3, 2, 1, 1, 1, 1 (2011-01-28)
http://mail.google.com/mail/h/1pknzzox697ct/?v=c&s=l&l=memo-... ×5 (2011-01-11)
Twitter [hatebu] ×58 : 51, 3, 1, 1, 1, 1 (2010-09-19)
http://faves.com/users/tsupo/dot/173280908000 ×7 (2010-07-05)
はてなダイアリー [sen-u] ×71 : 41, 28, 1, 1 (2010-06-03)
ime.nu /20100227.html ×10 (2010-05-26)
http://www.onaneet.org/blog/ ×7 (2010-05-23)
http://www.onaneet.org/blog/2010/05/22/なぜpdfのページが絶えないのか/ ×25 (2010-05-22)
はてなダイアリー [sen-u 20100302] ×88 : 87, 1 (2010-04-19)
http://twib.jp/entry/dd1022d6697ce3bff0c910c3b1e5567b ×4 (2010-04-09)
http://www.insightnow.jp/article/5143 ×42 (2010-03-29)
セキュリティホールmemo ×2381 : 2147, 205, 18, 7, 2, 1, 1 (2010-03-24)
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/memo/20... ×7 (2010-03-23)
http://faves.com/users/tsupo/dot/73900468000 ×7 (2010-03-18)
http://memo.st.ryukoku.ac.jp/archive/201003.month/9750.html ×12 (2010-03-17)
mixi diary [117311] ×2 : 1, 1 (2010-03-04)
http://dishsns.is.nttdocomo.co.jp/sns/index.php?command=geta... ×5 (2010-03-04)
Tumblr [ysaktaro] ×4 (2010-03-03)
Tumblr [rbu6000] ×13 (2010-03-03)
Yahoo!ブックマーク [action] ×4 (2010-03-02)
http://web-tan.forum.impressrd.jp/e/2010/03/02/7496?utm_sour... ×17 (2010-03-02)
http://web-tan.forum.impressrd.jp/e/2010/03/02/7496?utm_sour... ×5 (2010-03-02)
http://web-tan.forum.impressrd.jp/e/2010/03/02/7496 ×196 (2010-03-02)
http://katoyuu.at.infoseek.co.jp/201002nikki.html ×11 (2010-03-02)
Twitter [haruyama] ×3 : 2, 1 (2010-03-01)
http://compliance.bluecoat.members.co.jp/notify-NotifyUser?h... ×4 (2010-03-01)
jcom.home.ne.jp [sarasiru] ×591 : 453, 131, 7 (2010-03-01)
カトゆー ×675 : 638, 37 (2010-03-01)
mew5.com ×40 (2010-02-28)
http://yamagata.int21h.jp/d/ ×14 (2010-02-28)
http://yamagata.int21h.jp/d/?date=20100228 ×7 (2010-02-28)
http://www.studiomu.org/junk_blog/ ×7 (2010-02-28)
Twitter [beakmark] ×5 : 4, 1 (2010-02-28)
http://zapanet.info/new/hatebu4/ ×5 (2010-02-28)
http://qwerty.on.arena.ne.jp/cgi-bin/bbs.cgi ×20 (2010-02-28)
http://favotter.net/home.php?mode=hot&&threshold=10 ×13 (2010-02-28)
http://soccerunderground.com/head/web.htm ×10 (2010-02-28)
http://2ch-m.info/index.php?page=index.index& ×5 (2010-02-28)
http://clip.nifty.com/entry/a7f3e137125da842f83f1b4eec2dd354... ×8 (2010-02-28)
http://zapanet.info/new/hatebu5/ ×8 (2010-02-28)
http://clip.nifty.com/entry/a7f3e137125da842f83f1b4eec2dd354... ×21 (2010-02-28)
Tumblr [h2ospace] ×19 (2010-02-28)
http://zapanet.info/new/hatebu6/ ×4 (2010-02-27)
http://www.geocities.jp/twicli/twicli.html ×5 (2010-02-27)

検索

http https ×1050 / https http ×352 / httpとhttps ×141 / キーワード不明 ×109 / HTTP HTTPS ×75 / https ×57 / httpsをhttpに ×32 / httpsとhttp ×31 / HTTPS HTTP ×28 / http と https ×27 / 一流企業 ×27 / なぜ一流企業はhttpsでの閲覧をさせないようにするのか ×26 / httpsからhttp ×26 / http:// https:// ×23 / https 閲覧 ×21 / https 404 ×20 / akamai 証明書 ×18 / ｈｔｔｐｈｔｔｐｓ ×17 / httpsにするには ×15 / ssl 404 ×15 / 高木浩光 ssl ×15 / 高木浩光 SSL ×15 / http https とは ×14 / HTTP HTTPs ×14 / 高木浩光 https ×13 / httpからhttps ×12 / 高木博光イーモバイル ×12 / ssl http https ×11 / akamai ssl ×11 / https から http ×10 / https 理由 ×10 / HTTP https ×9 / 企業ホームページ SSL ×9 / ｈｔｔｐｓｈｔｔｐ ×9 / httpからhttpsへ ×9 / http とhttps ×9 / HTTPS ×8 / HTTPとHTTPS ×8 / https と http ×8 / httpをhttpsに ×8 / ssl not found ×7 / https アドレス ×7 / 一流日記 ×7 / httpsをhttp ×7 / html https ×7 / ssl ipアドレス ×7 / httpsからhttpへ ×6 / ｈｔｔｐ https ×6 / http://twitter.com/HiromitsuTakagi/status/555565922669170688/photo/1 ×6 / httpをhttps ×6 / http: https: ×6 / SSL 404 ×6 / なぜhttps ×5 / https not found ×5 / httrshttp ×5 / httpとｈｔｔｐｓ ×5 / なぜhttp ×5 / ｈｔｔｐとｈｔｔｐｓ ×5 / https httpで ×5 / https 高木浩光 ×5 / ｈｔｔｐとｈｔｔｐｓ ×5 / httpをhttpsにしたい ×5 / http https 別サーバ ×5 / https httpでアクセス ×5 / https:// http:// ×5 / httpをhttpsにする ×5 / http htpps ×5 / みずほ銀行 https ×5 / akamai 遮断 ×4 / 高木浩光上野宣 ×4 / 証明書 http 404 ×4 / 機密性保護に加え、アクセスしているWebサーバの ×4 / 三菱東京UFJ ×4 / httpsにする ×4 / SSL not found ×4 / httpsにする理由 ×4 / https アクセスさせない ×4 / ＨＴＴＰＨＴＴＰＳ ×4 / ssl html ×4 / 一流 ×4 / SSL 要件高木博光 ×4 / SSLが必要な訳 ×4 / SSLクライアント高木浩光 ×4 / SSL http https ×4 / htpp htpps ×4 / 高木浩光さくらインターネット ×4 / httpsをhttpにする ×4 / "https" 404 ×3 / 上野宣高木浩光 ×3 / http を https ×3 / http. https. ×3 / https http 中継 ×3 / httpsのページ ×3 / https url ×3 / httpでアクセスさせない ×3 / http: https ×3 / httpのページにhttps ×3 / https html ×3 / 一流企業の要件 ×3 / https 企業 ×3 / https にする ×3 / 簡単ログイン SSL ×3 / アドレス https ×3 / http アクセス禁止 https ×3 / https: ×3 / httpでアクセス https ×3 / akamai SSL ×3 / 高木浩光 443 ×3 / httpsというURLは？ ×3 / SSL 技術的理由 ×3 / HTTPS http ×3 / https http 高木 ×3 / ssl https http ×3 / httpsをhttpにしたい ×3 / http httpsとは ×3 / httpsから httpアクセス ×3 / httpでもhttpsでも ×3 / 高木 https ×3 / https http アクセス ×3 / http "//" 理由 ×3 / ssl 閲覧 ×3 / 上野宣高木浩光 ×3 / https 自宅 ×3 / 一流企業のURL ×3 / 自宅 https ×3 / SSL https ｈｔｔｐ ×3 / ｈｔｔｐｓ http ×3 / URL https ×3 / ｈｔｔｐｓとｈｔｔｐ ×3 / httpsページ ×3 / 三菱銀行 https接続用証明書 ×3 / HTTPS 404 ×3 / http から https ×3 / httpsがhttpに ×3 / httpsにしない理由 ×3 / httpとhttpsとは ×3 / 高木浩光上野 ×3 / http 閲覧 ×3 / ｈｔｔｐｓ ×2 / HTTP と HTTPS ×2 / 高木浩光 ×2 / なぜｈｔｔｐｓにする？ ×2 / https: http ×2 / https ｈｔｔｐ ×2 / hhtp https ×2 / 高木浩光ｈｔｔｐｓ ×2 / http https アクセス ×2 / SSL 高木浩光 ×2 / au http https ×2 / 高木 ssl ×2 / httpがhttpsになる ×2 / SSL 電話番号 ×2 / ssl 理由 ×2 / http https セキュリティ ×2 / https からhttp ×2 / http:// からhttps:// にするには ×2 / 証明書 akamai ×2 / ssl 運営者 ×2 / SSL証明書 notfound ×2 / httpとするとhttpsになる ×2 / 携帯電話 ipアドレス "https" ×2 / "https" "http" ×2 / SSLサイト制限 ×2 / ssl "not found" ×2 / sslはなぜ ×2 / SSL https http ×2 / なんでhttpはhttpsにしないの ×2 / httpでアクセスしたら https に ×2 / akamai https ×2 / SSL 2010年 ×2 / アカマイ証明書 ×2 / httpsページをhttpでアクセス ×2 / SSL akamai ×2 / https httpに ×2 / http https IPアドレス ×2 / みずほ ×2 / httpsにしない ×2 / https 404 ssl ×2 / みずほ銀行 ssl ×2 / https ssl 404 ×2 / http https // ×2 / 機密性とは SSL ×2 / 高木浩光銀行 https ×2 / https httpになる ×2 / 企業は一流 ×2 / https がhttp ×2 / ゆうちょ偽画面 ×2 / なぜIPアドレス帯域を制限 ×2 / httpsとは ×2 / アカマイ ssl ×2 / HTTPSからHTTP ×2 / SSL 帯域 ×2 / http https 中継 ×2 / http参照 https参照 ×2 / https に http でアクセス ×2 / 高木浩光みずほ銀行 ×2 / SSL IPアドレス ×2 / http,https ×2 / https つながらない ×2 / http HTTPS ×2 / 三井住友携帯 SSL ×2 / IPアドレス確認 "HTTPS" ×2 / 高木浩光三井住友 ×2 / SSL 盗聴改竄 ×2 / 高木セキュリティサブスクライバ ×2 / https 何故 ×2 / url https http ×2 / https HTTP ×2 / akamai softbank ssl ×2 / みずほ https ×2 / httpsで表示できないのはなぜ？ ×2 / ＵＲＬＨＴＴＰＳ ×2 / https を http ×2 / HTTPS 通信秘匿性 ×2 / httpsを閲覧出来るか確認する ×2 / HTTPS 理由 ×2 / httpで httpsに ×2 / shttp https ×2 / AKAMAI SSL ×2 / 無線 lan ssl ×2 / httpsがhttpになる ×2 / SSL 自宅サーバー An Httpd ×2 / http ページに https ×2 / softbank ssl 高木 ×2 / ssl 企業 404 ×2 / https http 高木証明書 ×2 / http https url ×2 / http https 高木 ×2 / SSL takagi ×2 / ntt akamai ×2 / AN http https ×2 / https→http ×2 / なぜ一流企業はhttpsの ×2 / 一流企業サイト ×2 / Http https ×2 / 三菱銀行一流 ×2 / 404 not found ssl ×2 / httpsがつながらない ×2 / 404 https ×2 / https AES http ×2 / このページは存在しません ×2 / http://takagi-hiromitsu.jp/diary/20100227.html ×2 / httpとHTTPS ×2 / https→ｈｔｔｐ ×2 / SSL 自宅 ×2 / http https 別 ×2 / かんたんログイン "https" ×2 / Http Https ×2 / ssl 別サーバ ×2 / http https html ×2 / httpsでのアクセス ×2 / SSL ページが見つかりません ×2 / -hiromitsu.jp 銀行高木浩光 ×2 / ssl http 404 ×2 / ＨＴＴＰとＨＴＴＰＳ ×2 / httpstohttp ×2 / https http 理由 ×2 / HTTPS と HTTP ×2 / 証明書 site:takagi-hiromitsu.jp ×2 / ケータイ ssl 閲覧 ×2 / http. https ×2 / -hiromitsu.jp SSL ×2 / ssl 自宅 ×2 / https: http: ×2 / http でアクセスさせない https ×2 / ”要件書” ×2 / セキュリティサイトを閲覧させない ×2 / サーバ証明書 not found ×2 / httpsのページにhttpでアクセス ×2 / htttp https ×2 / httpとhttps HTML ×2 / https とhttp ×2 / 自宅企業 ×2 / akamai ssl証明書 ×2 / ｈｔｔｐとhttps ×2 / ssl 必要か ×2 / httpsサイトにhttpでアクセス ×2 / http→https ×2 / http://とhttps:// ×2 / 高木浩光＠自宅の日記 SSL ×2 / htppとhttps ×2 / ssl 銀行 http ×2 / HTTPページにHTTPS ×2 / http// https ×2 / https URL ×2

2010年02月27日

■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか

最近のタイトル