高木浩光＠自宅の日記

2010年02月27日

■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか

「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。

「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。
SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1

2番目には解決策がない。

1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。

NTTドコモ: 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスすると、404 Not Found となる。
KDDI: 「EZサーバのIPアドレス帯域」のページをhttps:// でアクセスすると、404 Not Found となる。
ソフトバンクモバイル: 「Yahoo!ケータイにて利用するIPアドレス帯域」のページは、https:// でもアクセスできる。
イー・モバイル: 「IPアドレス帯域」のページは、https:// でアクセスしようとしても、つながらない。ポートが遮断されている。

NTTドコモとKDDIは、ちゃんとSSLを稼働させているのに、なぜかあえて 404 Not Found にしている。せっかくSSLを正しく証明書を取得して稼働させているのに、どういうことなのか。

この違和感は、金融機関のサイトについても以前から気になっていた。

金融機関にとっては、連絡先の電話番号なども重要な情報であり、すり替えられたりしないよう、安全に閲覧できる手段を用意していてしかるべきである。それなのに、大手金融機関が、どういうわけか、それを実施していない。

以下は、「銀行」でGoogle検索して上から出てきた順に、各金融機関について現状を調べたものである。

三菱東京UFJ銀行

三菱東京UFJ銀行の「お問い合わせ先」ページ

上のページを https:// でアクセスした様子
（akamaiのサーバ証明書。ホームページをSSL対応にするつもりがないケース。）

三井住友銀行

三井住友銀行の「お問い合わせ先」ページ
（重要な用件の連絡先が書かれている。）

上のページを https:// でアクセスした様子
（EV SSLまで用意されているのに、404 Not Found になっている。）

りそな銀行

りそな銀行の「お問合せ」のページ
（重要な用件の連絡先が書かれている。）

上のページを https:// でアクセスした様子
（SSLは正常に用意されているのに、404 Not Found になっている。）

みずほ銀行

みずほ銀行の「お問い合わせ」のページ

上のページを https:// でアクセスした様子
（SSLのサーバが稼働していない。ホームページをSSL対応にするつもりがないケース。）

イーバンク銀行

「お問い合わせ」ページが見つからなかったのでスキップ。

ゆうちょ銀行

ゆうちょ銀行の「お問い合わせ」ページ

上のページを https:// でアクセスした様子
（SSL用の別サーバ wwws.jp-bank.japanpost.jp の証明書。ホームページをSSL対応にするつもりがないケース。）

画面キャプチャ

別サーバ「wwws」の同じパス名に https:// でアクセスしてみた様子
（404 Not Found。別サーバで用意しているわけではないらしい。）

なんと、このように、上位5行のいずれも、問い合わせ先電話番号等を https:// ページで閲覧できるようにしてくれていない。

2008年9月にフィッシング対策協議会が公表した「フィッシング対策ガイドライン」にも、次のように書かれている。

【要件】 ◎Webサイト運営者の連絡先及びガイダンス等、顧客に間違いなく情報を伝える必要のあるページはSSL/TLSで保護すること

SSL/TLS には、機密性保護に加え、アクセスしている Web サーバの正当性(ドメイン名を含めたサーバ名と運営者との関係について認証局が確認をとっているということ)を検証する機能が備わっている。Web サイト、Web サービスに関する緊急時の連絡先及びガイダンス等、Web サイト運営者から正しく情報を伝える必要のあるページは SSL/TLS でのアクセスを可能とし、顧客が Web サイト運営者からページコンテンツが提供されていることを確認する手段を提供することが望ましい。

フィッシング対策ガイドライン, フィッシング対策協議会, 2008年9月10日

これがぜんぜん守られていない。どうしてこんなことになっているのだろうか。

ここで思い出すのが、昔からしばしば、「https:// のページは http:// でアクセスできてはいけない」などと、出鱈目なことを言う自称セキュリティ屋がいたことだ。インターネットバンキングのSSLサイトを http:// でアクセスして、アクセスできると「危ない銀行だ」などと出鱈目なことを言いふらしているのがいた。

最近でも、以下の文書がそういうことを言っている。

適切に HTTPS を使うことで通信の盗聴・改ざん・なりすましから情報を守ることができます。重要な情報を扱う場合には HTTPS で通信を行う必要があります。また特別な理由がない限りは HTTPS でアクセス可能なページは、HTTP でのアクセスを提供しないことが望ましいでしょう。

発注者のためのWebシステム/Webアプリケーションセキュリティ要件書, 株式会社トライコーダ, 2009年4月

「特別な理由がない限り」って何？特別な理由って何？理由があればいいの？理由がないときはなぜ提供しちゃいけないの？ *2

https:// のはずのページが攻撃者によって http:// にすり替えられることを懸念してのつもりかもしれないが、そんなのは、サーバ側で http:// を止めたところで解決にならない。攻撃者は https:// へ中継するだけだし、中継しないでそのまま偽ページを返してもいい。結局のところ、利用者自身が、見ている画面が https:// になっていることを自力で確認しないかぎり、SSLは機能しない*3のであって、サーバで http:// が稼働しているか否かは関係ない。

こういう似非セキュリティコンサルの指摘を真に受けて守ろうとするとどうなるか。

A社ホームページ http://www.example.jp/ のうち、重要な情報を掲載するページを https:// でも閲覧できるようにと、SSLを導入したとする。https://www.example.jp/important.html というページができることになるが、このSSLページは http:// でもアクセスできることになる。セキュリティコンサルが言う要件に違反してしまう。

こんな本末転倒な話があるか。似非コンサルの戯言など無視して、https:// でも閲覧できるようにするべきだ。http:// で閲覧するか https:// にするかは利用者が選ぶことだ。

このままでは、新幹線車内など公衆無線LANから銀行の電話番号を確認できないわけで、本来、こういうことは利用者がどんどん要望を出していってしかるべきことだ。私も、自分が使っている銀行については、週明けにでも電話で要望したい。

*1 これは、2007年6月29日の日記「サブスクライバーID をパスワード代わりに使うべきでない理由」に書いた。図を再掲しておく。

通信路上の攻撃者がキャリアのIPアドレスからの任意のサブスクライバーIDを送信する様子
（2007年6月29日の日記「サブスクライバーID をパスワード代わりに使うべきでない理由」の図2より再掲）

「通信路上の攻撃者なんているのか」という疑問に対しては、2008年6月3日の日記「通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか？」で紹介した、さくらインターネットのLAN上でARP spoofing攻撃が発生した事件がその実例にあたる。

*2 あいかあらず上野宣がテキトーなことを書いているわけだが、「特別な理由がない限り○○が望ましい」で通るんだったら、どんな要件だっていくらでも書ける。要件を書く方は何も考える必要がない。

*3 「安全なWebサイト利用の鉄則 / よくある質問と答え」参照。

本日のTrackBacks(全100件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20100227]

▼ Web担当者Forum:御社の企業情報ページはhttpsでアクセスできますか？ (2010年03月02日 10:02)

今日は、企業サイトで意識するべき「正しい情報提供」の手法について。企業情報ページの連絡先情報やIRページなど、正しい情報を伝えるべきページは、httpsでアクセスできるようにして

本日のリンク元

はてなブックマークコメント ×406 : 214, 102, 55, 8, 7, 7, 4, 4, 3, 2 (2024-01-09)
https://webtan.impress.co.jp/e/2010/03/02/7496 ×42 (2017-10-17)
https://www.bing.com/ ×57 (2016-01-12)
https://www.google.co.jp ×154 (2015-08-20)
スラドarticle [11/03/25/0111246] ×6 (2015-07-06)
スラドarticle [15/01/16/0345236] ×37 (2015-06-11)
スラッシュドットarticle [15/01/16/0345236] ×337 : 332, 3, 1, 1 (2015-05-11)
スラッシュドット ×19 : 5, 4, 3, 1, 1, 1, 1, 1, 1, 1 (2015-03-26)
NAVERまとめ [2142127930893154101] ×10 : 9, 1 (2015-01-19)
Twitter [1] ×12 : 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2015-01-17)
livedoor Blog [manamerit] ×7 (2015-01-16)
Twitter [HiromitsuTakagi] ×9 : 6, 2, 1 (2015-01-16)
http://twitmatome.bogus.jp/archives/24779 ×85 (2015-01-16)
http://sns.augi.jp/?m=pc&a=page_fh_diary&target_c_diary_id=4... ×8 (2015-01-16)
Twitter [Mihoko_Nojiri] ×3 : 2, 1 (2015-01-15)
http://gigazine.net/news/20150115-headline/ ×1336 (2015-01-15)
http://twilog.org/HiromitsuTakagi ×5 (2015-01-15)
https://www.smartnews.be/ ×4 (2015-01-15)
http://it.ej-radar.com/tweets/index/code=HIROMITSUTAKAGI.T/d... ×4 (2015-01-15)
http://hatenafilter.com/it ×6 (2015-01-15)
http://twitterrific.com/referrer ×14 (2015-01-15)
http://www.andr0o0id.com/?p=5618 ×17 (2014-04-21)
スラッシュドットarticle [11/03/25/0111246] ×178 : 73, 52, 30, 19, 3, 1 (2013-03-11)
スラッシュドットarticle [12/11/15/0221251] ×645 : 478, 155, 6, 5, 1 (2012-11-16)
スラッシュドットcomments [584617] ×11 : 6, 1, 1, 1, 1, 1 (2012-11-16)
スラッシュドットcomments [12] ×70 (2012-11-15)
http://search.fenrir-inc.com/?hl=ja&channel=sleipnir_2_w&saf... ×6 (2012-10-13)
はてなブックマークコメント [d.hatena.ne.jp/essa/20120525/p1] ×7 (2012-05-27)
http://websearch.rakuten.co.jp/Web?tool_id=1&ref=chext&qt=ht... ×4 (2012-05-10)
Twitter [matsuu] ×6 : 4, 1, 1 (2012-02-02)
http://green.search.goo.ne.jp/search?MT=http https&IE=UTF-8&... ×18 (2012-01-24)
http://www.onaneet.org/blog/archives/3202 ×84 (2011-09-15)
スラッシュドットcomments [526817] ×130 : 34, 32, 17, 16, 7, 6, 5, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1 (2011-05-17)
http://websearch.rakuten.co.jp/?tool_id=1&rid=2000&qt=http h... ×4 (2011-03-23)
http://www.bugbearr.jp/?日記/2010-03-13 ×4 (2011-03-04)
www.nantoka.com/~kei/diary/ ×17 : 4, 4, 3, 2, 1, 1, 1, 1 (2011-01-28)
http://mail.google.com/mail/h/1pknzzox697ct/?v=c&s=l&l=memo-... ×5 (2011-01-11)
Twitter [hatebu] ×58 : 51, 3, 1, 1, 1, 1 (2010-09-19)
http://faves.com/users/tsupo/dot/173280908000 ×7 (2010-07-05)
はてなダイアリー [sen-u] ×71 : 41, 28, 1, 1 (2010-06-03)
ime.nu /20100227.html ×10 (2010-05-26)
http://www.onaneet.org/blog/ ×7 (2010-05-23)
http://www.onaneet.org/blog/2010/05/22/なぜpdfのページが絶えないのか/ ×25 (2010-05-22)
はてなダイアリー [sen-u 20100302] ×88 : 87, 1 (2010-04-19)
http://twib.jp/entry/dd1022d6697ce3bff0c910c3b1e5567b ×4 (2010-04-09)
http://www.insightnow.jp/article/5143 ×42 (2010-03-29)
セキュリティホールmemo ×2381 : 2147, 205, 18, 7, 2, 1, 1 (2010-03-24)
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/memo/20... ×7 (2010-03-23)
http://faves.com/users/tsupo/dot/73900468000 ×7 (2010-03-18)
http://memo.st.ryukoku.ac.jp/archive/201003.month/9750.html ×12 (2010-03-17)
mixi diary [117311] ×2 : 1, 1 (2010-03-04)
http://dishsns.is.nttdocomo.co.jp/sns/index.php?command=geta... ×5 (2010-03-04)
Tumblr [ysaktaro] ×4 (2010-03-03)
Tumblr [rbu6000] ×13 (2010-03-03)
Yahoo!ブックマーク [action] ×4 (2010-03-02)
http://web-tan.forum.impressrd.jp/e/2010/03/02/7496?utm_sour... ×17 (2010-03-02)
http://web-tan.forum.impressrd.jp/e/2010/03/02/7496?utm_sour... ×5 (2010-03-02)
http://web-tan.forum.impressrd.jp/e/2010/03/02/7496 ×196 (2010-03-02)
http://katoyuu.at.infoseek.co.jp/201002nikki.html ×11 (2010-03-02)
Twitter [haruyama] ×3 : 2, 1 (2010-03-01)
http://compliance.bluecoat.members.co.jp/notify-NotifyUser?h... ×4 (2010-03-01)
jcom.home.ne.jp [sarasiru] ×591 : 453, 131, 7 (2010-03-01)
カトゆー ×675 : 638, 37 (2010-03-01)
mew5.com ×40 (2010-02-28)
http://yamagata.int21h.jp/d/ ×14 (2010-02-28)
http://yamagata.int21h.jp/d/?date=20100228 ×7 (2010-02-28)
http://www.studiomu.org/junk_blog/ ×7 (2010-02-28)
Twitter [beakmark] ×5 : 4, 1 (2010-02-28)
http://zapanet.info/new/hatebu4/ ×5 (2010-02-28)
http://qwerty.on.arena.ne.jp/cgi-bin/bbs.cgi ×20 (2010-02-28)
http://favotter.net/home.php?mode=hot&&threshold=10 ×13 (2010-02-28)
http://soccerunderground.com/head/web.htm ×10 (2010-02-28)
http://2ch-m.info/index.php?page=index.index& ×5 (2010-02-28)
http://clip.nifty.com/entry/a7f3e137125da842f83f1b4eec2dd354... ×8 (2010-02-28)
http://zapanet.info/new/hatebu5/ ×8 (2010-02-28)
http://clip.nifty.com/entry/a7f3e137125da842f83f1b4eec2dd354... ×21 (2010-02-28)
Tumblr [h2ospace] ×19 (2010-02-28)
http://zapanet.info/new/hatebu6/ ×4 (2010-02-27)
http://www.geocities.jp/twicli/twicli.html ×5 (2010-02-27)

検索

http https ×1050 / https http ×352 / httpとhttps ×141 / キーワード不明 ×109 / HTTP HTTPS ×75 / https ×57 / httpsをhttpに ×32 / httpsとhttp ×31 / HTTPS HTTP ×28 / http と https ×27 / 一流企業 ×27 / なぜ一流企業はhttpsでの閲覧をさせないようにするのか ×26 / httpsからhttp ×26 / http:// https:// ×23 / https 閲覧 ×21 / https 404 ×20 / akamai 証明書 ×18 / ｈｔｔｐｈｔｔｐｓ ×17 / ssl 404 ×15 / 高木浩光 SSL ×15 / httpsにするには ×15 / 高木浩光 ssl ×15 / HTTP HTTPs ×14 / http https とは ×14 / 高木浩光 https ×13 / 高木博光イーモバイル ×12 / httpからhttps ×12 / akamai ssl ×11 / ssl http https ×11 / https 理由 ×10 / https から http ×10 / HTTP https ×9 / 企業ホームページ SSL ×9 / http とhttps ×9 / httpからhttpsへ ×9 / ｈｔｔｐｓｈｔｔｐ ×9 / https と http ×8 / httpをhttpsに ×8 / HTTPS ×8 / HTTPとHTTPS ×8 / html https ×7 / httpsをhttp ×7 / ssl ipアドレス ×7 / https アドレス ×7 / 一流日記 ×7 / ssl not found ×7 / SSL 404 ×6 / http: https: ×6 / ｈｔｔｐ https ×6 / http://twitter.com/HiromitsuTakagi/status/555565922669170688/photo/1 ×6 / httpsからhttpへ ×6 / httpをhttps ×6 / httpをhttpsにしたい ×5 / httpをhttpsにする ×5 / https httpで ×5 / なぜhttp ×5 / httpとｈｔｔｐｓ ×5 / https 高木浩光 ×5 / https httpでアクセス ×5 / ｈｔｔｐとｈｔｔｐｓ ×5 / ｈｔｔｐとｈｔｔｐｓ ×5 / http htpps ×5 / なぜhttps ×5 / httrshttp ×5 / https:// http:// ×5 / みずほ銀行 https ×5 / http https 別サーバ ×5 / https not found ×5 / 証明書 http 404 ×4 / httpsにする ×4 / 三菱東京UFJ ×4 / ＨＴＴＰＨＴＴＰＳ ×4 / htpp htpps ×4 / SSLが必要な訳 ×4 / 機密性保護に加え、アクセスしているWebサーバの ×4 / https アクセスさせない ×4 / SSL 要件高木博光 ×4 / ssl html ×4 / SSL http https ×4 / httpsをhttpにする ×4 / 高木浩光上野宣 ×4 / akamai 遮断 ×4 / SSL not found ×4 / 一流 ×4 / 高木浩光さくらインターネット ×4 / httpsにする理由 ×4 / SSLクライアント高木浩光 ×4 / http. https. ×3 / http "//" 理由 ×3 / https 企業 ×3 / アドレス https ×3 / httpでアクセス https ×3 / "https" 404 ×3 / httpのページにhttps ×3 / https url ×3 / https http アクセス ×3 / 高木浩光 443 ×3 / 自宅 https ×3 / 高木浩光上野 ×3 / httpsページ ×3 / httpsというURLは？ ×3 / HTTPS http ×3 / httpでもhttpsでも ×3 / httpとhttpsとは ×3 / httpsから httpアクセス ×3 / SSL https ｈｔｔｐ ×3 / ssl 閲覧 ×3 / http 閲覧 ×3 / SSL 技術的理由 ×3 / HTTPS 404 ×3 / 上野宣高木浩光 ×3 / httpでアクセスさせない ×3 / httpsにしない理由 ×3 / URL https ×3 / 一流企業のURL ×3 / httpsをhttpにしたい ×3 / httpsがhttpに ×3 / http: https ×3 / http アクセス禁止 https ×3 / https http 高木 ×3 / 簡単ログイン SSL ×3 / 一流企業の要件 ×3 / http から https ×3 / ssl https http ×3 / https: ×3 / akamai SSL ×3 / http を https ×3 / 三菱銀行 https接続用証明書 ×3 / ｈｔｔｐｓとｈｔｔｐ ×3 / https http 中継 ×3 / ｈｔｔｐｓ http ×3 / httpsのページ ×3 / https 自宅 ×3 / http httpsとは ×3 / https にする ×3 / https html ×3 / 上野宣高木浩光 ×3 / 高木 https ×3 / http https セキュリティ ×2 / 高木浩光 ×2 / サーバ証明書 not found ×2 / httpsがhttpになる ×2 / url https http ×2 / https: http: ×2 / https: http ×2 / 三井住友携帯 SSL ×2 / 三菱銀行一流 ×2 / ssl 理由 ×2 / 404 https ×2 / HTTPS と HTTP ×2 / https に http でアクセス ×2 / SSLサイト制限 ×2 / https を http ×2 / http,https ×2 / なんでhttpはhttpsにしないの ×2 / httpで httpsに ×2 / http:// からhttps:// にするには ×2 / 高木浩光ｈｔｔｐｓ ×2 / SSL akamai ×2 / AKAMAI SSL ×2 / http https IPアドレス ×2 / http https 中継 ×2 / sslはなぜ ×2 / https AES http ×2 / SSL 自宅サーバー An Httpd ×2 / https http 高木証明書 ×2 / SSL ページが見つかりません ×2 / https httpに ×2 / ssl "not found" ×2 / SSL 2010年 ×2 / HTTPSからHTTP ×2 / SSL 電話番号 ×2 / なぜｈｔｔｐｓにする？ ×2 / http→https ×2 / https 404 ssl ×2 / https→http ×2 / http https アクセス ×2 / 証明書 site:takagi-hiromitsu.jp ×2 / softbank ssl 高木 ×2 / SSL 高木浩光 ×2 / 高木浩光銀行 https ×2 / このページは存在しません ×2 / https http 理由 ×2 / https からhttp ×2 / http ページに https ×2 / なぜIPアドレス帯域を制限 ×2 / httpsとは ×2 / -hiromitsu.jp 銀行高木浩光 ×2 / なぜ一流企業はhttpsの ×2 / -hiromitsu.jp SSL ×2 / 携帯電話 ipアドレス "https" ×2 / https ｈｔｔｐ ×2 / 高木セキュリティサブスクライバ ×2 / 高木浩光＠自宅の日記 SSL ×2 / SSL 帯域 ×2 / ｈｔｔｐｓ ×2 / htttp https ×2 / セキュリティサイトを閲覧させない ×2 / ＨＴＴＰとＨＴＴＰＳ ×2 / ケータイ ssl 閲覧 ×2 / https URL ×2 / http HTTPS ×2 / http. https ×2 / SSL https http ×2 / ssl 別サーバ ×2 / httpとHTTPS ×2 / https ssl 404 ×2 / au http https ×2 / ｈｔｔｐとhttps ×2 / httpsページをhttpでアクセス ×2 / httpとhttps HTML ×2 / http でアクセスさせない https ×2 / 高木浩光みずほ銀行 ×2 / https→ｈｔｔｐ ×2 / ssl http 404 ×2 / みずほ ×2 / Http https ×2 / ゆうちょ偽画面 ×2 / HTTPS 通信秘匿性 ×2 / http://とhttps:// ×2 / httpsにしない ×2 / アカマイ証明書 ×2 / 機密性とは SSL ×2 / 高木 ssl ×2 / https httpになる ×2 / SSL takagi ×2 / http https 高木 ×2 / IPアドレス確認 "HTTPS" ×2 / httpsを閲覧出来るか確認する ×2 / ssl 必要か ×2 / akamai softbank ssl ×2 / みずほ https ×2 / 証明書 akamai ×2 / shttp https ×2 / httpとするとhttpsになる ×2 / かんたんログイン "https" ×2 / http// https ×2 / HTTP と HTTPS ×2 / httpsがつながらない ×2 / httpsでのアクセス ×2 / ssl 企業 404 ×2 / ssl 自宅 ×2 / Http Https ×2 / みずほ銀行 ssl ×2 / httpがhttpsになる ×2 / 無線 lan ssl ×2 / http https url ×2 / httpでアクセスしたら https に ×2 / 自宅企業 ×2 / akamai https ×2 / http https // ×2 / https 何故 ×2 / http https 別 ×2 / httpsで表示できないのはなぜ？ ×2 / ssl 銀行 http ×2 / https とhttp ×2 / hhtp https ×2 / 高木浩光三井住友 ×2 / http://takagi-hiromitsu.jp/diary/20100227.html ×2 / HTTPS 理由 ×2 / http参照 https参照 ×2 / SSL IPアドレス ×2 / httpsのページにhttpでアクセス ×2 / https がhttp ×2 / ＵＲＬＨＴＴＰＳ ×2 / https HTTP ×2 / https つながらない ×2 / http https html ×2 / akamai ssl証明書 ×2 / HTTPページにHTTPS ×2 / 404 not found ssl ×2 / ntt akamai ×2 / 一流企業サイト ×2 / 企業は一流 ×2 / htppとhttps ×2 / SSL 自宅 ×2 / ”要件書” ×2 / ssl 運営者 ×2 / "https" "http" ×2 / アカマイ ssl ×2 / SSL証明書 notfound ×2 / httpsサイトにhttpでアクセス ×2 / httpstohttp ×2 / SSL 盗聴改竄 ×2 / AN http https ×2

2010年02月27日

■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか

最近のタイトル