http://itpro.nikkeibp.co.jp/article/NEWS/20060214/229197/
この記事によれば、SSL証明書はCA(認証局)が発行したものだそうです。
ということは、CAに問い合わせれば、フィッシング詐欺をはたらいた業者を特定することができ、容易に犯人を逮捕することができると思います。
この認識は、正しいでしょうか?
この記事には、フィッシングサイトを使った業者が逮捕されたとの記載がありませんでしたので、ここで質問させていただきました。
回答の際、何か関連する情報が記載されているURLをあわせてご記入いただければうれしいです。
よろしくお願いします。
http://isc.sans.org/diary.php?storyid=1118
SANS - Internet Storm Center - Cooperative Cyber Threat Monitor And Alert System
I talked earlier today to a representative of Equifax/GeoTrust, and asked a simple question: how do you confirm that someone really is who they claim to be when issuing an SSL certificate? I got a response that sounded really quite good. There was official documentation required: copies of business licenses, articles of incorporation, etc... There was official confirmation required: checks made with the Secretary of State’s Office in the state of incorporation, a requirement that the business be in good standing, etc...
想像ですが、実在の会社の名前を使って発行したんじゃないでしょうか。あるいは書類の偽造を行ったか。。。インサイダーかもしれませんが。ちゃんと書類を読まなかったり実はチェックしてなかったりするかもしれませんね。
これの第1報をどこかでみたときは、メールだけで証明書が買えるとかいう記述を見かけた記憶があるのですが、どこでみたか忘れてしまいました。
http://slashdot.jp/security/article.pl?sid=06/02/15/0357255
スラッシュドット ジャパン | 「本物の」サーバ証明書を持つフィッシングサイト
SSSLは通信を暗号化して通信中のデータを暗号化するわけですがその暗号化した通信先が信用できない相手だといくら暗号化しても意味がないわけです。そこでその通信先の相手を第3者機関(CA:認証局)通して、正しい相手であるか存在の確認をおこなってその相手先が「ちゃんと他の人に適正な審査のうえで確認してもらっているんですよ」というのが証明書になります。
今回は認証局の適正な審査がおこなわれていなかったので不適切な申請にもとづいたあたかも正しい証明書があるかのように見えてしまっているのが問題となっています。
ですので、認証局が確認した情報が不適切の情報であれば、なかなか簡単には身元がばれないということになります。
http://www.geotrust.co.jp/ssl/
SSL 電子証明書 SSLサーバ証明書とは 日本ジオトラスト株式会社
普通は、きちんと身元を証明する公的な文書などを提出して、SSL証明書を発行するのですよね?
その審査を行わないのなら、SSLに対する信頼性そのものが崩れていくような気がします・・・
http://itpro.nikkeibp.co.jp/article/NEWS/20060210/229014/
「正規の証明書を持っているサイトも信用するな」,フィッシング研究者が警告:ITpro
1番目の関連記事のURLです。
「電子メールのやり取りだけで,サーバー証明書を取得できるサービスが最近登場しており,これを使えば身元をほとんど明らかにする必要がない」
このようなサービスを使用していた場合、なかなか業者の特定は難しいのではないでしょうか。
電子メールそれ自体は、身元の特定に使うにはあまりにも弱いです。日本国内でサービスを受けられる、一般的なサーバ証明書発行サービスでは、相手の組織が存在するかを電話等で確認していますが、上記のような無料サービスではそのような確認をしていないと思われます。
メールだけで証明書を発行するCAが存在すること自体、間違っていると思います。。
このCAに、SSL証明書の発行を指し止め足りする措置は、とられたりするのでしょうか?
「信頼できるCA」というカテゴリから外すべきかと。
http://itpro.nikkeibp.co.jp/article/NEWS/20060214/229197/
“本物”のSSL証明書を持つフィッシング・サイト出現:ITpro
http://slashdot.jp/comments.pl?sid=302203&threshold=2&mo...
「本物の」サーバ証明書を持つフィッシングサイト
> QuickSSL は whois に書いてある所有者のメールアドレスに到達すれば確認されるので,Geotrustは確認自体を怠ったわけではないわけですし…
つまり偽造クレジットカードでドメイン取得すれば証明書は発行できます。
認証局によって何を証明する物かポリシーが異なります。
興味深いページ、どうもありがとうございます。
なんだか、建築偽装問題と通じるところがある問題だなーという印象です。
日本ベリサイン カスタマーサービスに昔尋ねたことがあります(コード署名のときですが)
-----
まずは、弊社のデジタルIDにご説明させて頂きます。
弊社のデジタルIDを発行するにあたり、主として
・IDを申請された会社が、法律上存在しているか?
・その申請が、その申請会社からのものであるかどうか?
等を確認し、認証させて頂いております。
------
というのが「コード署名」ですが、SSLでも同じでしょう。つまり「会社が登記されてるか」と「その会社から申請されてるか」しか見ておらず、そもそも与信をしていません。
つまり、上記の回答は
「幽霊会社を法人として登記する」
「会社の社印を上記の法人で登録する」
だけすればSSLのサーバ証明書を取ることが出来ます。ということで「フィッシング詐欺をはたらいた業者を特定」は不可能です。幽霊法人なんて腐るほどありますから。とうぜん、そこの会社として商業登記したところの住所なんて嘘っぱちでいいのですから、逮捕(というか身柄を確保)することは出来ません。
昔からなんですけど(上記を聞いたのは2001年ですから)、、何を皆さん驚いているのでしょう???SSLのサーバ証明書なんて昔から無意味ですけど。。。
なるほど、なるほど。
明確な回答、どうもありがとうございます。
まあ、SQLインジェクションが2000年ごろから言われていたのと同じようなものでしょうか。。
http://www.rapidssl.com/ssl-certificate-products/ssl-certificate...
SSL Certificate Free SSL Certificates RapidSSL Certificate Authority
RapidSSLのサーバ証明書を取得して、使用していますが、ルート証明書は今回の一件と同じ、「Equifax Secure Global eBusiness CA-1」です。
RapidSSLの場合は、Whoisに登録されているメールアドレスに対してメールの到達製を確認し、なおかつ電話にて認証を行っています。
たしかに、Verisignなどに比べては簡単にサーバ証明書の取得ができてしまいます。
ただ、「SSLに対する信頼性そのものが崩れていくような気がします・・・」と書かれているようですが、
SSLは本来、データを暗号化するためのプロトコルですし、サーバ証明書はサーバが本物で有ることを証明する物なので、
/.Jなどでも書かれていますが、それ以上もそれ以下もサーバ証明書に求めるべきではないのではと個人的には思います。
本来の質問とは関係ない回答ですので、ポイントは結構です。
この1件を機会に、多くの方が SSLに関する幅広い見解を持つようになればいいなあと、ちょっと思いました。
ここで質問を終了します。
ありがとうございました。
たしか、CAにSSL証明書を発行してもらうには、公的な身分証明書が必要(個人なら免許証、法人なら登記簿謄本など)であると記憶しています。
ずいぶん以前に本で読んだものなので、うるおぼえor古い情報となっている可能性がありますが。。。