まだ国勢調査の回答をしていなかったのだが、こんなツイートが流れてきた。
最初にアクセスするように案内されているURLは http://t.co/Q3MpvObKgq と書かれていてHTTPSになっていません。この画面が改竄されていたらアウトですね。
— 水無月ばけら (@bakera) 2015, 9月 12
いくら何でもこれでは危険なので、ためしに https://t.co/rniSoHhaGw にアクセスしてみたら問題なく HTTPS でアクセスできました。なぜ HTTPS のURLを案内しないのか。
— 水無月ばけら (@bakera) 2015, 9月 12
これは調べてみるしかない。
来ている封筒の中を見てみた
封筒に回答期限が9/20までと書いてあったので、まだ中を見ていなかった。
ポスティングされてた pic.twitter.com/0pqRaHB3jI
— shigeo_t (@shigeo_t) 2015, 9月 10
まずA3折込冊子。高田純次のようにテキトーでいいということを暗示しているんだろう。表紙は情報量が少ない。
見開きの左はアクセス方法。PCの場合はURLの入力、スマホなどの場合はQRコードからアクセスという説明。ここの説明ではアクセス先はhttp://になっている。「検索してもアクセスできません」と書いてあるので、そういう意味ではフィッシングサイトにアクセスする可能性は少ない。
その後、操作方法の説明に進む。
見開きの右側は操作方法の続きと利用環境。ここまでは特に問題ない。書く順番は利用環境→アクセス方法→操作方法のほうが素直だと思うけど。ところでWindows XPだときちんとリジェクトするんだろうか。XPはVMで残してあるので、気が向いたらアクセスしてみる。
裏表紙には注意事項等。ここでもアクセス先はhttp://である。SSL/TLSの説明はあるけど。だったらhttps://でいいよね、最初から。
もう一枚。これが話題のID/パスワード。これ封の無い封筒に入ってポスティングされてたんだぜ。これが一番手っ取り早い方法だけど、仮コードだけ配って住所とかから左上のコードを割り出して(どうせ事前に振っているんでしょ)、そこでID/パスワードを生成するとか、なんか手を考えなかったんだろうか。
アクセスしてみる
まず手っ取り早くQRコードでアクセスしてみた。確かにhttp://である。
まあこっちはいい。
さてPCで手入力。http://www.e-kokusei.go.jp/ にアクセスするとhttp://www.e-kokusei.go.jp/pc/portal/top.htmlにリダイレクトされる。[回答する]をクリックしてみる。
「はじめに」というページに遷移。ここもhttp://である。[インターネット回答をはじめる→]をクリックする。
ログイン画面になってhttp://になった。
証明書を見てみる。OV SSL証明書である。
Chromeで証明書を見た時の表示内容の説明はサイバートラストの説明が分かりやすい。 Certificate Transparency について|サイバートラスト
証明書の種類は以前書いた。再掲する。
|
|
DV |
OV |
EV |
|
認証のレベル |
低レベル |
高レベル |
最高レベル |
|
企業の実在確認 |
× |
○ |
◎ |
何度でも書くけどTwitterでさえEV SSL証明書である。こんなところでケチってどうするんだよ、総務省統計局。
最初からhttps://でアクセスしてみる
流れてきたツイートでは最初からhttps://でもアクセスできるとあったので、最初からhttps://でアクセスしてみる。問題ない。
ここをhttps://で用意しているなら、全部https://で案内すればいいはず。なんでトップページ、「はじめに」ページをhttp://にしたんだろう。
そのほか気付いたところ
ログインするとURLの後ろのほうにreqNoが付く。
ログアウトしても残っている。上のスクリーンショットとreqNoが異なるのは、ログインし直したため。なんかセションの通番っぽい。ハッシュしてないのは気になる。なんぞ脆弱性無いだろうな。
まとめ
説明ではQRコードか手でURL入力なので、メールや検索エンジンなどでフィッシングサイトに誘導されるおそれは少ない。
とはいえEV SSL証明書を使っていないのは問題である。http://www.e-kokusei.go.jp/を改竄されてよそに誘導されたら、多分普通の人には分からない。クラックする側に特に(金銭的な)メリットは無いサイトなのでクラックされる可能性は少ないかもしれないが、どこにでも愉快犯はいる。EV SSL証明書にしておけば、多少なんかされてもURL欄を見るだけで正規のサイトであることは確認できる。
あとreqNoがハッシュされていないのも気になる。一応、別の数字を適当に入れてみたけど、よその番号では動かないようにはなっているが、こういうのってちょっとでも突っつきにくくしておくもんじゃないのか?MITMでやられた時、こんな単純な作りだと攻撃しやすい。
まあreqNoは問題ないとしても、なんか別の場所でやらかしてないか心配になる。
あと、ID/パスワードを封をしてない封筒に入れてポスティングするのはどうかと思う。次回はもうちょっとエレガントな方法で解決してもらいたい。いや、封をするだけで解決か?
おまけ
一応aguseで見てみた。aguseの説明は下記エントリで。
IIJで動いているんだな、ここ。
IIJ GIOではWAF(Web Application Firewall)のサービスやってるけど、aguseだとWAF入っているかどうか分からないな。まあオレの見方の問題かもしれないが。こんな感じだとWAFが入っていれば少しは安心度がアップするんだが。
ちなみに何度もアクセスしてみると、異なる逆引きホスト名やIPアドレスが帰ってくるので、ロードバランスはされている。
実践 Metasploit ―ペネトレーションテストによる脆弱性評価
- 作者: David Kennedy,Jim O'Gorman,Devon Kearns,Mati Aharoni,青木一史,秋山満昭,岩村誠,川古谷裕平,川島祐樹,辻伸弘,宮本久仁男,岡真由美
- 出版社/メーカー: オライリージャパン
- 発売日: 2012/05/23
- メディア: 大型本
- 購入: 6人 クリック: 40回
- この商品を含むブログ (7件) を見る
- 作者: クリスマクナブ,Chris McNab,鍋島公章,ネットワークバリューコンポネンツ
- 出版社/メーカー: オライリージャパン
- 発売日: 2005/04/25
- メディア: 単行本
- 購入: 7人 クリック: 52回
- この商品を含むブログ (26件) を見る