EV証明書を使用して既知の企業になりすませる可能性が指摘される 19
ストーリー by headless
大穴 部門より
大穴 部門より
EV証明書を使用して既知の企業になりすませる可能性をセキュリティリサーチャーのIan Carroll氏が指摘している(実証ページ兼解説記事、
Ars Technicaの記事)。
EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。Safariの場合、EV証明書を使用したWebページではアドレスバーにURLが表示されず、発行先の会社名のみが表示されるため、本物のWebサイトに似たフィッシング用のドメインを取得しなくてもユーザーがだまされる可能性もある。9月にセキュリティ専門家のJames Burton氏は「Identity Verified」という会社を設立して取得したEV証明書を使用し、Safariで安全なWebサイトがGoogleやPayPalのログイン情報を要求しているかのように見える例を示して詐欺の可能性を警告している。
Carroll氏の場合は「Stripe, Inc」という会社を米ケンタッキー州リッチモンドで設立して実証サイト「stripe.ian.sh」のEV証明書を取得。オンライン決済サービスを提供するStripe(stripe.com)と同名だが、こちらは本社がカリフォルニア州サンフランシスコにある。しかし、Safariのアドレスバーではstripe.ian.sh、stripe.comともに「Stripe, Inc」と表示されるのみで見分けがつかない。
EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。Safariの場合、EV証明書を使用したWebページではアドレスバーにURLが表示されず、発行先の会社名のみが表示されるため、本物のWebサイトに似たフィッシング用のドメインを取得しなくてもユーザーがだまされる可能性もある。9月にセキュリティ専門家のJames Burton氏は「Identity Verified」という会社を設立して取得したEV証明書を使用し、Safariで安全なWebサイトがGoogleやPayPalのログイン情報を要求しているかのように見える例を示して詐欺の可能性を警告している。
Carroll氏の場合は「Stripe, Inc」という会社を米ケンタッキー州リッチモンドで設立して実証サイト「stripe.ian.sh」のEV証明書を取得。オンライン決済サービスを提供するStripe(stripe.com)と同名だが、こちらは本社がカリフォルニア州サンフランシスコにある。しかし、Safariのアドレスバーではstripe.ian.sh、stripe.comともに「Stripe, Inc」と表示されるのみで見分けがつかない。
他のブラウザーではURLも表示されるが、フィッシング用のドメインを使用すれば気付かれにくくなる。Internet ExplorerやMicrosoft Edgeでは1クリック、Mozilla Firefoxでは2クリックで発行先企業の所在地情報を確認できるものの、一見して本物かどうかを確認するのは難しい。Google Chromeの最近のバージョンではシステムの証明書ビューアを2クリックで表示できるが、一般ユーザー向けではない。
Carroll氏は会社設立に100ドル、EV証明書発行に77ドルを支払い、1時間ほどの作業でEV証明書を取得できたという。会社設立からEV証明書が発行されるまでの時間は48時間程度だったとのこと。本人確認情報はCarroll氏自身のものを使用しているが、最低限の確認しか行われないため、盗まれた身分証明書などを使用することも可能とみられる。
Burton氏が「Identity Verified」でEV証明書を取得したことが公表されて以来、CA/Browser Forumでは審査方法の見直しが議論されているそうだ。CA/Browser ForumのBaseline Requirementsでは詐欺に使われそうな名称をリスクの高い証明書リクエストの一つに挙げているが、フィッシングのターゲットに使われるような名称のリストの維持は証明機関次第だとCarroll氏は指摘する。また、SafariのようにEV証明書が重要なユーザーインターフェイスをオーバーライドする仕様など、ブラウザー側にも修正すべき点があるとのことだ。
SSL証明書周りって (スコア:1)
あんまり手が入っていないだけでまだまだ穴が色々ありそう
特にSANsまわりとか
原因と対策が最初の2行でわかる (スコア:1)
>EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。
表示の実装方法云々じゃなくて、審査が不十分なのが全ての問題。ここを直さないと他にも問題がボロボロ出てくるし、逆に直せばほぼ全ての問題が解決する。
心の豊かさをHDDの中に求めれば、部屋なんて狭くても良い [srad.jp]
Re: (スコア:0)
>Safariの場合、EV証明書を使用したWebページではアドレスバーにURLが表示されず、発行先の会社名のみが表示される
>Safariのアドレスバーではstripe.ian.sh、stripe.comともに「Stripe, Inc」と表示されるのみで見分けがつかない。
明らかに表示に問題があるだろ何いってんだ。
なかなか難しい (スコア:2)
「アドレスバーでは…見分けがつかない」というのはより正しくいえば「アドレスバーをクリックしなければ見分けがつかない」ですね。このあたりスマートフォンなど画面の狭い UI と共通化を図っているせいかもしれません。
逆に、他のブラウザでは URL と EV 証明書の組織名を両方表示しようとして、両方とも先頭部分しか表示されない場合がある、とも言えます。すると先頭部分だけ URL を似せておけば見ただけでは区別がつかない、という問題がでることになります。(Safari ならばクリックすると組織名の部分が URL になるのでスペース的に余裕がある) Chrome on iOS ではIPA [ipa.go.jp]の EV 組織名表示がされません。Safari on iOS なら Information-technology Promotion Ag ぐらいまで表示できます。
# どちらかというと、Safari が EV 証明書の国コードを表示しない方が不安ではあります
# 手元の IE11 on Win7 はタブの左のごく狭い場所にアドレスバーが表示される……解像度のせいか?
もし、ユーザが接続したいサイト(企業)の正しい URL を知っていると仮定できるのなら、EV 証明書は不要でドメイン名を保証する証明書で構わなかったはず。EV 証明書は組織の正しいドメイン名を知らなくても組織を特定できるようにという意図で生まれたはずなので、両方を同時に表示して先頭部分しか表示されないよりも、より組織名・URL を表示するスペースを確保する、という考えも理解できます。
ドメイン名を表示しておけばユーザーの責任、というのは多分間違いだと思うのですが、正しい組織名を表示してダメだとなると、州名など住所をより詳しく表示して情報量を増やすぐらいしか思いつきません。これをするとますます URL 表示に割ける面積が減ることになりますから、URL を常時表示するのは諦めた方が正解かも、とも思います。
Re: (スコア:0)
んなわけない
仮に実装に問題なしとしても(ありえねー)、審査の健全性のみに全て依拠しているって、クソ規格にもほどがあるわ
Re: (スコア:0)
審査が不十分なのが全ての問題。
正しく登記された実在の企業で、連絡先(住所等)も間違っていない、以上の何を審査すれば良いというのか。
Re:原因と対策が最初の2行でわかる (スコア:1)
ペーパーカンパニーでないかどうかのチェックぐらいは定期的に…無理かなぁ。無理っぽいなぁ。
Safariの実装が頭おかしいのは判ったけど
Re:原因と対策が最初の2行でわかる (スコア:1)
格付け機関 [wikipedia.org]に依頼するか、同じ審査をやれば良い。
心の豊かさをHDDの中に求めれば、部屋なんて狭くても良い [srad.jp]
Re: (スコア:0)
リンク先を読んだら格付け機関がつけてる信用格付の信憑性にも問題が,みたいなことが.
とすると,格付け機関の格付けも必要なのかも?
Re: (スコア:0)
実在の企業を作れてしまう脆弱性
Re: (スコア:0)
日本では登記住所さえ異なれば別に他社と同じ名前をつけていい。
商標上の問題で訴えられるケースはあるけど、フィッシングをしようというヤツは気にしないだろうね。そもそも商標だって区分が違えば同一でも問題ないし。
どこの国でもそうだと思うが、同一会社名を認めないとつけられる会社名がどんどん長くなってしまって困る。
だから、会社が正規に設立される以上はどうしようもない。
Re: (スコア:0)
しかも国が違えばもう、重複なんてチェックすらされないしな
それを審査が足らないというなら、既存企業のリネームも含めて、全世界の企業名を一意にする制度を整える必要が出てくる
Re:原因と対策が最初の2行でわかる (スコア:2)
一応現状でも Safari 以外の主要ブラウザは EV 証明書の Subject "C" の国名をアドレスバーに表示しています。
しかし、同じ国内でも企業名の重複が許されている国がある(アメリカや日本など)ので、同国内だけであっても企業名を一意にするというのは現実的ではないですね。
え、いまさら? (スコア:0)
そりゃ、そうやろ...
Re: (スコア:0)
俺は知ってるぞ。httpsなら安全なんだろ?w
Re: (スコア:0)
盗聴に対してはな。
EV SSL証明書に限った話ではないのでは (スコア:0)
日本の企業でも、似たような名前や全く同じ名前の別企業ってのが数多くあります。
特に中小企業ですとこれが顕著で、全く異なる業種にもかかわらず同じ名前だったりすると、
ウェブの問い合わせフォームや電話で、向こう側の会社さんの問い合わせが届いてしまったりすることも多く、
「すいません、それは同名の別会社かと」として、わざわざお断わりしなければならない状況だったりもします。
やるとすれば、EV SSL内の対応ではなく、企業名を商標として登録し、法的な排他制御をするほか無いのではないかと思いますが・・
Re: (スコア:0)
> 企業名を商標として登録し、法的な排他制御をするほか無い
登記する時に商法違反かどうかを調べるのは登記する者の義務で、法務局ではチェックしないはず。
だから同一であっても住所さえ違えば門前払いにはならない。(許可をもらってる可能性もあるし。)
フィッシングをするヤツはわざとやってるので、商標登録はあまり効果がない。
(フィッシングではなく便乗商法とか虎の威を借りるタイプには有効。)
Re: (スコア:0)
同業でも同名の会社が幾つかあって、たまに勘違いしてくる人がいるAC