2009年08月26日
■ エコポイント申請画面が共用SSLサイト上にある件
- 「エコポイント」の情報システムがわずか3週間で完成した理由, 有賀貞一, NIKKEI NET, 2009年8月26日
こうした問題を解決するために、エコポイント事務局と関係省庁が選択したのが、米セールスフォース・ドットコムの基盤サービス「Force.com」だった。セールスフォースはこのForce.comを「クラウドコンピューティングプラットフォーム」と表現している。利用者はサーバーなどのインフラを持つことなく、この基盤上で独自のシステムを構築できる。
という記事を読んで、「エコポイント」のサイトを初めて訪れたのだが、これはまずい。
「エコポイント」公式サイトの運営者は、「グリーン家電エコポイント事務局」となっていて、プライバシーポリシーでも個人情報取扱責任者が「グリーン家電エコポイント事務局」として書かれている。しかし、国民の視点からすれば、その事務局が法人なのか国の機関なのか、あるいは委託先の企業なのか何なのかわからない。サイトの下部に、環境省と経済産業省、総務省のロゴが貼られているが、それが何を意味するのかはっきりしない。
そういう状況の中で、このサイトのドメイン名が「eco-points.jp」という汎用JPドメイン名になっているところがまずい。内閣官房情報セキュリティセンターの「政府機関の情報セキュリティ対策のための統一基準」の第4版は、「1.5.2.6 ドメイン名の使用についての対策」として、以下の通り遵守事項を規定している*1。
1.5.2.6 ドメイン名の使用についての対策
遵守事項
(1) ドメイン名の使用についての規定の整備
【基本遵守事項】
(a) 統括情報セキュリティ責任者は、ドメインネームシステムによるドメイン名(以下「ドメイン名」と言う。)の使用について、以下の事項を行政事務従事者に求める規定を整備すること。
(ア) 行政事務従事者は、府省庁外の者(国外在住の者を除く。以下、本項において同じ。)に対して、アクセスや送信させることを目的としてドメイン名を告知する場合に、以下の政府機関のドメイン名であることが保証されるドメイン名(以下「政府ドメイン名」という。)を使用すること。
- go.jp で終わるドメイン名 *2
- 日本語ドメイン名の中で行政等に関するものとして予約されたドメイン名
ただし、(略)
(ウ) 行政事務従事者は、府省庁外の者に対して、アクセスさせることを目的として情報を保存するためにサーバを使用する場合には、政府ドメイン名のサーバだけを使用すること。
政府機関の情報セキュリティ対策のための統一基準第4版, 内閣官房情報セキュリティセンター
「エコポイント」のサイトには「インターネット申請」機能があり、住所、氏名、生年月日、電話番号、購入製品等を入力させるようになっているのだから、「政府ドメイン名」のサーバだけを使用しなければならないはずである。
仮に、ドメイン名の周知が他の媒体(家電販売店で配布されるチラシ等)でなされているという理由をもって、これでかまわないのだとするとしても、SSLの使い方に問題がある。
まず、個人情報の入力画面が、図1のように、「https://eco-points.secure.force.com/...」となっていて、ドメイン名が、家電販売店等で周知されるものとは異なるドメイン名となっており、得体の知れないところになっている。EV SSL証明書が使われているわけでもないので、Firefox 3.5で表示すると、SSL接続を表すアドレスバーの青い部分は「force.com」と表示されて、国民にはそれがどこなのかわからない。どこかの共用SSLサイトのようにも見える(追記:見えるじゃなくて、本当に共用SSLサイトだった)。サーバ証明書の内容(発行先組織名)を確認しようとしても、San Franciscoの「Salesforce.com, Inc.」だということしかわからない。
これは単純なPhishing対策の観点からまずいだけではない。SSLによる暗号化通信は、相手先を確認できてはじめて意味を持つ。仮に、利用者が、ドメイン名を手入力して「エコポイント」のサイトにアクセスしたとしても、申請画面にたどり着くまでの間に、通信路上で(たとえば公衆無線LANなどを使用しているときなどに)通信内容を改竄されると、別の正規のSSLサイトに飛ばされてしまうので、盗聴されるのと同じ結果を招く。安全なWebサイト利用の鉄則に示されているように、利用者が重要な情報を入力する画面で(つまり図1の画面で)、運営者を確認できるようにSSLを使わなければ、SSLが意味をなさない。
なによりもまずいのは、こうした真正性の確認できないサイトで入力することに国民を慣れさせてしまうことだ。
クラウドコンピューティングが普及するのはけっこうだけども、入力画面の運営者の確認手段の提供を怠ってはいけない。ドメイン名でわかるようにする(「政府ドメイン」を使用する)か、または、EV SSLで(国民が容易にその真正性を確認できる)組織名を使う必要がある。
なお、この日記は、冒頭の記事を読んでからわずか1時間で書き上げた。(追記:その後40分で少し書き足した。)(追記:1時間後にタイトルを変更した。)
追記(2時間半後)
とりあえず、同じドメイン名とサーバ証明書のSSLサイト(共用SSLサイト)上に、私のページを作成した(図2)。
(追記:その30分後、図2の画像を差し替えた。)
追記(3時間半後)
関連:
- EV SSLを緑色だというだけで信用してはいけない実例, 2009年6月27日の日記
ところで、そもそも、EV SSLに限らず(通常のSSLを使った)「共用SSL」というサービス自体、どうなんだろうか。以下に4つのケースに分けて検討してみる。(略)
なお、6月27日の日記で例示したサイトは、共用SSLでのEV SSL使用を中止すると発表した。
- フォームメーラー Pro-EV版 サービス終了のお知らせ, フューチャースピリッツ, 2009年8月24日
この度、『EV SSL証明書』を用いた本サービス『フォームメーラー Pro-EV』におきまして、弊社以外に送信されるフォームについて、弊社名がブラウザに表示されるEV証明書を利用しているのは、不適切であるというご指摘をいただきました。
弊社にて検討を行いました結果、ご指摘に基づき、本サービスにつきまして2009年10月1日に終了させていただくことになりました。
(ご英断に感謝します。)
追記(12月4日)
その後、エコポイント公式サイトのプライバシーポリシーが改訂され、一応の解決がなされたもよう。「グリーン家電エコポイント事務局」が何者であるかが書き足されていた。しかし、SSLで使用するドメイン名の問題は解決されていない。これについては、その後生じた別の事案も含めて書く予定。
日本の経済人は、この程度のニュースを見て「スゴイ」と驚いたり、「へー」と納得した
私の過去の文章で「go.jp」を希望したものがありますが、それではだめで「.go.jp」が正しいと受け取れるご解説を高木さんが公表されました。自分なりに納得したので、自分の現状の理解でよいかどうか不明ですが、追記したものからトラックバックいたします。
- https://www.google.com ×5 (2019-07-29)
- https://www.google.com.sg/ ×4 (2016-08-03)
- http://www.google.co.jp ×6 (2016-01-12)
- http://triweb.hits.unisys.co.jp/2015/11/phishing/ ×19 (2015-12-01)
- https://www.google.co.jp ×23 (2015-09-11)
- スラッシュドットarticle [09/08/26/2250207] ×983 : 381, 212, 144, 127, 44, 37, 20, 8, 4, 2, 2, 1, 1 (2015-01-15)
- www.nantoka.com/~kei/diary/ ×9 : 3, 2, 2, 1, 1 (2013-12-18)
- はてなダイアリー [pekeq 20090826] ×33 : 32, 1 (2013-05-01)
- はてなダイアリー [hottokei 20090831] ×2 : 1, 1 (2012-08-09)
- スラッシュドットarticle [09/10/16/0455251] ×139 : 64, 62, 9, 3, 1 (2012-07-19)
- 中村正三郎のホットコーナー ×47 : 31, 5, 3, 3, 3, 1, 1 (2012-06-05)
- スラッシュドットarticle [11/06/10/0855206] ×93 : 38, 28, 26, 1 (2012-04-26)
- スラッシュドット ×67 : 21, 19, 7, 5, 3, 3, 2, 2, 2, 1, 1, 1 (2012-04-02)
- http://200910.openlabs.go.jp/ja/idea/00012/ ×4 (2011-12-02)
- Tumblr [koubemise] ×5 : 4, 1 (2011-09-21)
- livedoor Blog [haruyama_seigo] ×55 : 42, 4, 3, 2, 2, 1, 1 (2011-09-06)
- スラッシュドットcomments [535316] ×35 : 20, 5, 2, 2, 2, 1, 1, 1, 1 (2011-06-20)
- スラッシュドットcomments [535070] ×85 : 18, 17, 8, 7, 6, 5, 4, 3, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2011-06-17)
- livedoor Blog [arbu] ×6 (2010-11-14)
- はてなブックマークコメント [www.publickey1.jp/blog/10/post_124.html] ×95 (2010-09-13)
- http://bakera.jp/ebi ×6 (2010-07-26)
- http://bakera.jp/ebi/topic/4198 ×12 (2010-07-26)
- http://www.excite.co.jp/News/net_clm/20090827/Slashdot_09_08... ×5 (2010-07-17)
- Yahoo!ブックマーク [raimon] ×2 : 1, 1 (2010-07-02)
- http://iiyu.asablo.jp/blog/ ×5 (2010-04-09)
- http://iiyu.asablo.jp/blog/2010/04/09/5006065 ×20 (2010-04-09)
- はてなブックマークコメント ×216 : 196, 19, 1 (2010-03-21)
- http://twib.jp/entry/a6ae07ec07c8d433be90f3238c015ceb ×4 (2010-03-09)
- http://docomo.ne.jp/cp/as-rslt.cgi?pno=3&key=エコポイント&fid=2 ×4 (2010-01-23)
- http://search.mobile.yahoo.co.jp/onesearch?fr=m_top_y&p=エコポイ... ×8 (2010-01-22)
- http://after-ideabox.net/ja/idea/12/ ×18 (2010-01-08)
- はてなダイアリー [pekeq] ×11 : 7, 2, 2 (2009-12-26)
- http://search.mobile.yahoo.co.jp/onesearch?fr=m_top_y&p=エコポイ... ×6 (2009-12-25)
- http://search.mobile.yahoo.co.jp/mobilesite/list?p=エコポイント&er... ×4 (2009-12-23)
- http://search.mobile.yahoo.co.jp/onesearch?p=エコポイント 申請&fr=m_... ×5 (2009-12-19)
- http://search.mobile.yahoo.co.jp/mobilesite/list?p=エコポイント&b=... ×54 (2009-12-18)
- http://search.mobile.yahoo.co.jp/onesearch?fr=m_top_y&p=エコポイ... ×28 (2009-12-18)
- mixi diary [1077498] ×2 : 1, 1 (2009-11-23)
- http://wiki.onakasuita.org/pukiwiki/?エコポイント ×7 (2009-11-17)
- http://www.open-meti.go.jp/ideaView?id=08710000000CoiLAAS ×4 (2009-11-05)
- http://docomo.ne.jp/cp/as-rslt.cgi?pno=1&key=エコポイント 申請&sid=1... ×7 (2009-10-21)
- スラッシュドットcomments [471074] ×16 : 6, 5, 1, 1, 1, 1, 1 (2009-10-20)
- http://www.open-meti.go.jp/ideaView?id=08710000000CoiL&retur... ×11 (2009-10-20)
- http://www.open-meti.go.jp/ideaView?id=08710000000CoiL ×7 (2009-10-16)
- http://www.open-meti.go.jp/ideaView?id=08710000000CoiL&retur... ×5 (2009-10-15)
- http://www.open-meti.go.jp/ideaView?id=08710000000CoiL&retur... ×13 (2009-10-15)
- http://www.open-meti.go.jp/ideaView?id=08710000000CoiL&retur... ×4 (2009-10-15)
- http://hotnews.infoseek.co.jp/category/internet/article/1111... ×4 (2009-10-10)
- http://buzzurl.jp/entry/高木浩光@自宅の日記 - エコポイント申請画面が共用SSLサイト上にある... ×8 (2009-10-05)
- http://written.4403.biz/archives/2009/09/ecopoint.html ×13 (2009-09-29)
- http://written.4403.biz/archives/2009/09/ ×8 (2009-09-27)
- http://www.felicalauncher.com/consumer/ranking?service_list=... ×6 (2009-09-15)
- http://www.felicalauncher.com/consumer/ranking?service_list=... ×4 (2009-09-14)
- http://blog.mwsoft.jp/article/32110217.html ×12 (2009-09-14)
- http://docomo.ne.jp/cp/as-rslt.cgi?pno=1&key=エコポイント申請&sid=00... ×13 (2009-09-14)
- http://www.excite.co.jp/News/column/20090827/Slashdot_09_08_... ×18 (2009-09-11)
- livedoorニュース [4318010] ×4 (2009-09-08)
- http://docomo.ne.jp/cp/as-rslt.cgi?pno=1&key=エコポイント&sid=000 ×24 (2009-09-04)
- Twitter [yohgaki] ×3 : 2, 1 (2009-09-02)
- http://docomo.ne.jp/cp/as-rslt.cgi?pno=1&key=エコポイント 申請&sid=0... ×6 (2009-09-01)
- http://www.bakabaka.net/blog/ ×7 (2009-08-30)
- 2ちゃんねる掲示板 [news 1251548512] ×3 : 1, 1, 1 (2009-08-29)
- 2ちゃんねる掲示板 [point 1250049533] ×4 : 2, 1, 1 (2009-08-29)
- http://sv1.alps.nes.nec.co.jp/wiki/pukiwiki.php?飯島 ×7 (2009-08-28)
- livedoor Blog [tani_masaru] ×91 (2009-08-28)
- http://doko.alpha.co.jp/modules/news/article.php?storyid=186... ×108 (2009-08-28)
- http://patio.wwws.nri.co.jp/?m=pc&a=page_fh_diary&selectdata... ×4 (2009-08-28)
- http://patio.wwws.nri.co.jp/?m=pc&a=page_fh_diary&selectdata... ×38 (2009-08-28)
- http://www.appbank.net/2009/08/28/iphone-news/46570.php ×32 (2009-08-28)
- ime.nu /20090826.html ×49 (2009-08-28)
- http://www.appexchange.jp/archives/51252821.html ×87 (2009-08-28)
- http://www2c.biglobe.ne.jp/~osakana/chat/hogech.cgi ×8 (2009-08-28)
- mew5.com ×57 : 55, 1, 1 (2009-08-28)
- ココログ [mitaka1954 cocolog] ×72 (2009-08-27)
- http://phpspot.org/blog/archives/2009/08/2009827.html ×197 (2009-08-27)
- Twitter [masanork] ×11 : 10, 1 (2009-08-27)
- http://blog.proj.jp/ituki/20090827.html ×6 (2009-08-27)
- GIGAZINE [20090827_headline] ×925 (2009-08-27)
- http://app-sec.sec.flab.fujitsu.co.jp/ikuya/ ×6 (2009-08-27)
- jcom.home.ne.jp [sarasiru] ×814 : 663, 134, 17 (2009-08-27)
- http://hotnews.infoseek.co.jp/article/11111/ ×8 (2009-08-27)
- http://www.bakabaka.net/blog/archives/post-354.html ×5 (2009-08-27)
- http://zapanet.info/new/hatebu4/ ×4 (2009-08-27)
- http://oku.edu.mie-u.ac.jp/~okumura/blog/node/2440 ×275 (2009-08-27)
- mixi diary [97562] ×18 (2009-08-27)
- はてなブックマークコメント [it.nikkei.co.jp/business/news/index.aspx?n=MMIT31000026082009] ×43 (2009-08-27)
- キーワード不明 ×866 / エコポイント 申請 ×377 / エコポイント ×198 / 高木浩光 エコポイント ×64 / エコポイント申請 ×52 / 共用SSL ×35 / エコポイント セキュリティ ×26 / エコポイント ドメイン ×23 / エコポイント セールスフォース ×22 / エコポイント salesforce ×21 / セールスフォース エコポイント ×19 / エコポイント SSL ×18 / エコポイント 申請状況 ×16 / salesforce エコポイント ×16 / エコポイント 高木 ×16 / エコポイント 申請 確認 ×15 / エコポイント 申請画面 ×14 / 申請画面 ×13 / salesforce.com エコポイント ×12 / エコポイント申請画面 ×11 / 高木 エコポイント ×10 / エコポイント 高木浩光 ×10 / エコポイント 生年月日 ×10 / エコ ×9 / エコポイント 申請確認 ×7 / エコポイント 申請 セキュリティ ×7 / 家電エコポイント事務局 ×7 / salesforce ssl ×6 / エコ サイト ×6 / SSL ×6 / エコポイント 申請 生年月日 ×6 / セールスフォース 高木 ×6 / エコポイント ssl ×6 / SSL 入力画面 ×5 / force.com SSL ×5 / エコポイント事務局 ×5 / 自宅エコポイント ×5 / エコポイント セキュリティー ×5 / エコポイント salesforce.com ×5 / ssl ×5 / SSL 真正性 ×4 / エコポイント force.com ×4 / EVSSL -hiromitsu.jp ×4 / エコポイント salesforce ssl ×4 / salesforce SSL ×4 / エコポイント インターネット申請 個人情報 ×4 / Salesforce エコポイント ×4 / 家電エコポイント ×4 / エコポイントの申請 ×4 / salesforce 高木 ×4 / グリーン家電エコポイント事務局 ×4 / エコポイント 時間 ×4 / 家電 エコポイント 申請 ×4 / エコポイント salesforce 個人情報 ×4 / https://eco-points.secure.force.com ×4 / エコポイント 申請先 ×4 / エコポイント 指摘 ×4 / force.com ssl ×4 / salesforce 独自ドメイン ssl ×3 / セキュリティ 共用SSL ×3 / force.com ドメイン名 ×3 / salesforce エコポイント 高木 ×3 / エコポイント事務局 委託先 ×3 / 共用ssl 使い方 ×3 / 「エコポイント」の情報システムがわずか3週間で完成した理由 ×3 / secure.force.com ×3 / 高木浩光 セールスフォース ×3 / エコポイント 確認 ×3 / エコポイント 申請 時間 ×3 / 家電エコポイント委託先 ×3 / エコポイント サーバー ×3 / https://eco-points.secure.force.com/ ×3 / エコポイント インターネット申請 ×3 / エコポイント申請 セキュリティ ×3 / 行政事務従事者とは ×3 / 申請画面 入力 ×3 / エコポイント この Web サイトのセキュリティ証明書には問題があります。 ×3 / force.com 画面 ×3 / エコポイント 画面 ×3 / salesforce 証明書 ×3 / 高木浩光 共用SSL ×3 / エコポイント 申請後 到着 ×3 / ssl 入力画面 ×3 / eco-points.secure.force.com ×3 / 共用SSL ×3 / force.com 証明書 ×3 / 自宅 エコ ×3 / エコポイント Force.com ×3 / エコポイント 情報システム ×3 / 高木浩光 クラウド ×3 / エコポイント 真正 ×3 / エコポイント事務局 責任者 ×2 / エコポイント セキュリティ ウェブサイト SSL ×2 / SSL 真正 ×2 / エコポイント takagi ×2 / エコポイント申請 クラウド ×2 / エコポイント 申請 日記 ×2 / salesforce SSL 証明書 ×2 / 高木浩光@自宅の日記 エコポイント ×2 / エコポイント事務局申請画面 ×2 / 共用SSL 高木 ×2 / salesforce 暗号化 ×2 / ssl 証明書 エコポイント ×2 / 高木浩光 force.com ×2 / 共用ssl ×2 / 家電エコポイント申請 ×2 / salesforce ssl 証明書 ×2 / クラウド 高木 ×2 / 共用SSL セキュリティ ×2 / 高木 フォームメーラー ×2 / 共用SSL 発行先 ×2 / エコポイント salesforce 高木 ×2 / エコポイント 申請から ×2 / フォームメーラー 高木 ×2 / SSL 画面 ×2 / ssl 異なるドメイン ×2 / エコポイント申請 表示できない ×2 / 政府機関へ申請する時のWebサイトのドメインは ×2 / エコポイント セキュアカスタマー ×2 / eco-points.jp takagi ×2 / エコポイント 申請者 購入者 違う ×2 / SSL -hiromitsu.jp/diary/ ×2 / https 入力画面 ×2 / salesforce エコポイント セキュリティ ×2 / グリーン家電エコポイント事務局 セキュリティ ×2 / エコポイント サーバ ×2 / 「エコポイント」の情報システムがわずか3週間で完成した理由 ×2 / エコポイント クラウド セキュリティ ×2 / セールスフォース・ドットコム 経済産業省 ×2 / エコポイント 運営 ×2 / クラウドコンピューティング エコポイント ×2 / エコポイント事務局 トラブル ×2 / エコポイント 担当省庁 ×2 / エコポイント申請確認 ×2 / force.com ssl salesforce ×2 / セールスフォース エコポイント 申請 ×2 / エコ ポイント ×2 / salesforce エコポイント 個人情報 ×2 / 有賀 エコポイント ×2 / SFDC エコポイント ×2 / SSLサイト ×2 / 高木浩光 SSL ×2 / エコポイント 申請 サーバ ×2 / エコポイント 個人情報入力 ドメイン ×2 / takagi エコポイント ×2 / エコポイント 申請 salesforce ×2 / エコポイントサイト ×2 / 家電エコポイント セールスフォース ×2 / 政府エコポイント 申請 ×2 / 高木浩光 salesforce ×2 / エコポイント事務局 住所 ×2 / エコポイント 申請場所 ×2 / エコポイント セキュリティ証明書 ×2 / SalesForce SSL 証明書 ×2 / エコポイント force ×2 / エコポイント 申請 表示されない ×2 / 高木 浩光 エコポイント ×2 / ポイント申請画面 ×2 / 高木浩光@ 自宅の日記 ×2 / エコポイント事務局 何者 ×2 / 家電エコポイント 購入証明書発行理由 ×2 / 高木浩光 goドメイン ×2 / エコポイント 申請 名前 ×2 / クラウド SSL ×2 / エコポイント サーバ証明書 ×2 / エコポイント申請 生年月日 ×2 / 政府機関の情報セキュリティ対策のための統一基準 ドメイン名 ×2 / エコポイント事務局 Fire Fox ×2 / エコポイント 申請 問題 ×2 / エコポイント 申請してから ×2 / Force.com エコポイント ×2