高木浩光＠自宅の日記

■ エコポイント申請画面が共用SSLサイト上にある件

• 「エコポイント」の情報システムがわずか３週間で完成した理由, 有賀貞一, NIKKEI NET, 2009年8月26日

  こうした問題を解決するために、エコポイント事務局と関係省庁が選択したのが、米セールスフォース・ドットコムの基盤サービス「Force.com」だった。セールスフォースはこのForce.comを「クラウドコンピューティングプラットフォーム」と表現している。利用者はサーバーなどのインフラを持つことなく、この基盤上で独自のシステムを構築できる。

という記事を読んで、「エコポイント」のサイトを初めて訪れたのだが、これはまずい。

「エコポイント」公式サイトの運営者は、「グリーン家電エコポイント事務局」となっていて、プライバシーポリシーでも個人情報取扱責任者が「グリーン家電エコポイント事務局」として書かれている。しかし、国民の視点からすれば、その事務局が法人なのか国の機関なのか、あるいは委託先の企業なのか何なのかわからない。サイトの下部に、環境省と経済産業省、総務省のロゴが貼られているが、それが何を意味するのかはっきりしない。

そういう状況の中で、このサイトのドメイン名が「eco-points.jp」という汎用JPドメイン名になっているところがまずい。内閣官房情報セキュリティセンターの「政府機関の情報セキュリティ対策のための統一基準」の第4版は、「1.5.2.6 ドメイン名の使用についての対策」として、以下の通り遵守事項を規定している*1。

1.5.2.6 ドメイン名の使用についての対策

遵守事項

(1) ドメイン名の使用についての規定の整備

【基本遵守事項】

(a) 統括情報セキュリティ責任者は、ドメインネームシステムによるドメイン名（以下「ドメイン名」と言う。）の使用について、以下の事項を行政事務従事者に求める規定を整備すること。

(ア) 行政事務従事者は、府省庁外の者（国外在住の者を除く。以下、本項において同じ。）に対して、アクセスや送信させることを目的としてドメイン名を告知する場合に、以下の政府機関のドメイン名であることが保証されるドメイン名（以下「政府ドメイン名」という。）を使用すること。

• go.jp で終わるドメイン名 *2
• 日本語ドメイン名の中で行政等に関するものとして予約されたドメイン名

ただし、（略）

(ウ) 行政事務従事者は、府省庁外の者に対して、アクセスさせることを目的として情報を保存するためにサーバを使用する場合には、政府ドメイン名のサーバだけを使用すること。

政府機関の情報セキュリティ対策のための統一基準第4版, 内閣官房情報セキュリティセンター

「エコポイント」のサイトには「インターネット申請」機能があり、住所、氏名、生年月日、電話番号、購入製品等を入力させるようになっているのだから、「政府ドメイン名」のサーバだけを使用しなければならないはずである。

仮に、ドメイン名の周知が他の媒体（家電販売店で配布されるチラシ等）でなされているという理由をもって、これでかまわないのだとするとしても、SSLの使い方に問題がある。

まず、個人情報の入力画面が、図1のように、「https://eco-points.secure.force.com/...」となっていて、ドメイン名が、家電販売店等で周知されるものとは異なるドメイン名となっており、得体の知れないところになっている。EV SSL証明書が使われているわけでもないので、Firefox 3.5で表示すると、SSL接続を表すアドレスバーの青い部分は「force.com」と表示されて、国民にはそれがどこなのかわからない。どこかの共用SSLサイトのようにも見える（追記：見えるじゃなくて、本当に共用SSLサイトだった）。サーバ証明書の内容（発行先組織名）を確認しようとしても、San Franciscoの「Salesforce.com, Inc.」だということしかわからない。

図1: 「エコポイント」の申請画面

これは単純なPhishing対策の観点からまずいだけではない。SSLによる暗号化通信は、相手先を確認できてはじめて意味を持つ。仮に、利用者が、ドメイン名を手入力して「エコポイント」のサイトにアクセスしたとしても、申請画面にたどり着くまでの間に、通信路上で（たとえば公衆無線LANなどを使用しているときなどに）通信内容を改竄されると、別の正規のSSLサイトに飛ばされてしまうので、盗聴されるのと同じ結果を招く。安全なWebサイト利用の鉄則に示されているように、利用者が重要な情報を入力する画面で（つまり図1の画面で）、運営者を確認できるようにSSLを使わなければ、SSLが意味をなさない。

なによりもまずいのは、こうした真正性の確認できないサイトで入力することに国民を慣れさせてしまうことだ。

クラウドコンピューティングが普及するのはけっこうだけども、入力画面の運営者の確認手段の提供を怠ってはいけない。ドメイン名でわかるようにする（「政府ドメイン」を使用する）か、または、EV SSLで（国民が容易にその真正性を確認できる）組織名を使う必要がある。

なお、この日記は、冒頭の記事を読んでからわずか1時間で書き上げた。（追記：その後40分で少し書き足した。）（追記：1時間後にタイトルを変更した。）

追記（2時間半後）

とりあえず、同じドメイン名とサーバ証明書のSSLサイト（共用SSLサイト）上に、私のページを作成した（図2）。

図2: 「エコポイント」の個人情報入力画面とSSL的な意味で区別されない入力画面の作成例

（追記：その30分後、図2の画像を差し替えた。）

追記（3時間半後）

関連：

• EV SSLを緑色だというだけで信用してはいけない実例, 2009年6月27日の日記

  ところで、そもそも、EV SSLに限らず（通常のSSLを使った）「共用SSL」というサービス自体、どうなんだろうか。以下に4つのケースに分けて検討してみる。（略）

なお、6月27日の日記で例示したサイトは、共用SSLでのEV SSL使用を中止すると発表した。

• フォームメーラー Pro-EV版 サービス終了のお知らせ, フューチャースピリッツ, 2009年8月24日

  この度、『EV SSL証明書』を用いた本サービス『フォームメーラー Pro-EV』におきまして、弊社以外に送信されるフォームについて、弊社名がブラウザに表示されるEV証明書を利用しているのは、不適切であるというご指摘をいただきました。

  弊社にて検討を行いました結果、ご指摘に基づき、本サービスにつきまして2009年10月1日に終了させていただくことになりました。

（ご英断に感謝します。）