人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

正式なSSL証明書を用いたフィッシングサイトが現れたとの記事があります。
http://itpro.nikkeibp.co.jp/article/NEWS/20060214/229197/

この記事によれば、SSL証明書はCA(認証局)が発行したものだそうです。
ということは、CAに問い合わせれば、フィッシング詐欺をはたらいた業者を特定することができ、容易に犯人を逮捕することができると思います。


この認識は、正しいでしょうか?
この記事には、フィッシングサイトを使った業者が逮捕されたとの記載がありませんでしたので、ここで質問させていただきました。
回答の際、何か関連する情報が記載されているURLをあわせてご記入いただければうれしいです。

よろしくお願いします。

●質問者: xml-document1
●カテゴリ:コンピュータ 政治・社会
✍キーワード:Ca SSL証明書 URL サイト フィッシング
○ 状態 :終了
└ 回答数 : 6/6件

▽最新の回答へ

1 ● rafile
●15ポイント

http://isc.sans.org/diary.php?storyid=1118

SANS - Internet Storm Center - Cooperative Cyber Threat Monitor And Alert System

I talked earlier today to a representative of Equifax/GeoTrust, and asked a simple question: how do you confirm that someone really is who they claim to be when issuing an SSL certificate? I got a response that sounded really quite good. There was official documentation required: copies of business licenses, articles of incorporation, etc... There was official confirmation required: checks made with the Secretary of State’s Office in the state of incorporation, a requirement that the business be in good standing, etc...


想像ですが、実在の会社の名前を使って発行したんじゃないでしょうか。あるいは書類の偽造を行ったか。。。インサイダーかもしれませんが。ちゃんと書類を読まなかったり実はチェックしてなかったりするかもしれませんね。


これの第1報をどこかでみたときは、メールだけで証明書が買えるとかいう記述を見かけた記憶があるのですが、どこでみたか忘れてしまいました。

◎質問者からの返答

たしか、CAにSSL証明書を発行してもらうには、公的な身分証明書が必要(個人なら免許証、法人なら登記簿謄本など)であると記憶しています。

ずいぶん以前に本で読んだものなので、うるおぼえor古い情報となっている可能性がありますが。。。


2 ● berryberyy
●15ポイント

http://slashdot.jp/security/article.pl?sid=06/02/15/0357255

スラッシュドット ジャパン | 「本物の」サーバ証明書を持つフィッシングサイト

SSSLは通信を暗号化して通信中のデータを暗号化するわけですがその暗号化した通信先が信用できない相手だといくら暗号化しても意味がないわけです。そこでその通信先の相手を第3者機関(CA:認証局)通して、正しい相手であるか存在の確認をおこなってその相手先が「ちゃんと他の人に適正な審査のうえで確認してもらっているんですよ」というのが証明書になります。

今回は認証局の適正な審査がおこなわれていなかったので不適切な申請にもとづいたあたかも正しい証明書があるかのように見えてしまっているのが問題となっています。


ですので、認証局が確認した情報が不適切の情報であれば、なかなか簡単には身元がばれないということになります。

http://www.geotrust.co.jp/ssl/

SSL 電子証明書 SSLサーバ証明書とは 日本ジオトラスト株式会社

◎質問者からの返答

普通は、きちんと身元を証明する公的な文書などを提出して、SSL証明書を発行するのですよね?

その審査を行わないのなら、SSLに対する信頼性そのものが崩れていくような気がします・・・


3 ● mishra
●15ポイント

http://itpro.nikkeibp.co.jp/article/NEWS/20060210/229014/

「正規の証明書を持っているサイトも信用するな」,フィッシング研究者が警告:ITpro

1番目の関連記事のURLです。


「電子メールのやり取りだけで,サーバー証明書を取得できるサービスが最近登場しており,これを使えば身元をほとんど明らかにする必要がない」


このようなサービスを使用していた場合、なかなか業者の特定は難しいのではないでしょうか。


電子メールそれ自体は、身元の特定に使うにはあまりにも弱いです。日本国内でサービスを受けられる、一般的なサーバ証明書発行サービスでは、相手の組織が存在するかを電話等で確認していますが、上記のような無料サービスではそのような確認をしていないと思われます。

◎質問者からの返答

メールだけで証明書を発行するCAが存在すること自体、間違っていると思います。。

このCAに、SSL証明書の発行を指し止め足りする措置は、とられたりするのでしょうか?

「信頼できるCA」というカテゴリから外すべきかと。


4 ● Futame
●15ポイント

http://itpro.nikkeibp.co.jp/article/NEWS/20060214/229197/

“本物”のSSL証明書を持つフィッシング・サイト出現:ITpro

http://slashdot.jp/comments.pl?sid=302203&threshold=2&mo...

「本物の」サーバ証明書を持つフィッシングサイト

> QuickSSL は whois に書いてある所有者のメールアドレスに到達すれば確認されるので,Geotrustは確認自体を怠ったわけではないわけですし…


つまり偽造クレジットカードでドメイン取得すれば証明書は発行できます。


認証局によって何を証明する物かポリシーが異なります。

◎質問者からの返答

興味深いページ、どうもありがとうございます。

なんだか、建築偽装問題と通じるところがある問題だなーという印象です。


5 ● ma-kanoh
●15ポイント

http://verisign.co.jp/

日本ベリサイン カスタマーサービスに昔尋ねたことがあります(コード署名のときですが)

-----

まずは、弊社のデジタルIDにご説明させて頂きます。

弊社のデジタルIDを発行するにあたり、主として

・IDを申請された会社が、法律上存在しているか?

・その申請が、その申請会社からのものであるかどうか?

等を確認し、認証させて頂いております。

------

というのが「コード署名」ですが、SSLでも同じでしょう。つまり「会社が登記されてるか」と「その会社から申請されてるか」しか見ておらず、そもそも与信をしていません。

つまり、上記の回答は

「幽霊会社を法人として登記する」

「会社の社印を上記の法人で登録する」

だけすればSSLのサーバ証明書を取ることが出来ます。ということで「フィッシング詐欺をはたらいた業者を特定」は不可能です。幽霊法人なんて腐るほどありますから。とうぜん、そこの会社として商業登記したところの住所なんて嘘っぱちでいいのですから、逮捕(というか身柄を確保)することは出来ません。


昔からなんですけど(上記を聞いたのは2001年ですから)、、何を皆さん驚いているのでしょう???SSLのサーバ証明書なんて昔から無意味ですけど。。。

◎質問者からの返答

なるほど、なるほど。

明確な回答、どうもありがとうございます。

まあ、SQLインジェクションが2000年ごろから言われていたのと同じようなものでしょうか。。


1-5件表示/6件
4.前の5件|次5件6.
関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ