![セキュリティ セキュリティ](https://srad.jp/static/topics/security_64.png)
B-CASのWebサイト、なぜかSSL証明書は「NTTデータ」名義 53
ストーリー by hylom
即危険というわけではないですが 部門より
即危険というわけではないですが 部門より
あるAnonymous Coward 曰く、
﹁高木浩光@自宅の日記 — B-CAS社の個人情報登録サイトのSSL証明書がNTT DATA﹂によると、B-CAS社のWebサイトで使われているSSL証明書の﹁組織﹂がNTTデータになっているそうだ。
しかも、b-cas.co.jpというサイトを見ていたはずなのにいつのまにかb-cas.jpという別サイトに飛ばされている始末。これでは、もしかしてWebサイトがNTTデータに乗っ取られていたとも考えられてしまう︵もちろんそんなことはないだろうが︶。
自分たちのためのセキュリティは強固に作るくせに、利用者のセキュリティについては何も考えていないんですかね……。
もちろん、このこと自体が直接何らかの脆弱性や被害につながるものではないが、このようにある企業のWebサイトで使われるSSL証明書が、ほかの組織名義になっていることというのは多く見られるのだろうか? 詳しい方のご意見を求む。
証明書の組織名とドメインの名前が違うから乗っ取り? (スコア:4, 参考になる)
SSL証明書がNTTデータだから、乗っ取られていると考えるのは違うのでは? 高木センセの日記にも以下のように書いてあります。 b-cas.jp ドメインの保有者が誰なのか、whois で調べてみると、さらに別の会社になっている。 b-cas.jpドメインの保有者がNTTデータだったらなら、 証明書的には一応整合性がとれているとなるのではないかと。 b-cas.jpはNTTメディアクロス [whois.jprs.jp]所有のドメインなんですね。 系列企業と調べれば解る範囲だから、乗っ取りといいきるのは…微妙かも。 b-cas.co.jpがBSコンディショナルアクセスシステムズ [whois.jprs.jp]である事を考えると、 乗っ取りというより不正サイトへの誘導…フィッシングサイト辺りが妥当かも。
まあ要するに、SSL証明書の組織名が違う事はそれはそれで微妙だけど、 そもそもドメイン所有者がNTTという所に端を発してる訳でしょう。 b-cas.jpドメイン所有者からしたら、SSL証明書はNTT(系列)であるという 正しい情報が示されているだけなのですから。
#正しいというなら、ドメイン所有者がNTTデータであるべきというツッコミは無しで。
もう少し邪推(Re:証明書の組織名とドメインの名前が違うから乗っ取り? (スコア:5, 興味深い)
ひょっとしたら、 B-CASの運営実態はNTTデータに丸投げされている と言うことではないでしょうか?
要は、 ・B-CAS社の実体=NTTデータもしくはNTTメデイアクロス︵多分電子証明書から見て、電子証明書取得時はNTTデータ︶ ・B-CAS社は登記上︵もしくは株主対策︶のダミー会社。役員配当や出資窓口の為の住所に部屋を万が一の時の為に押さえてはあり、その部屋では数名の事務の人間が留守番などをやっているか、もしくはそれすら貸しオフィス業者︵後述︶にアウトソーシング。
登記上の住所には電話すらなくて転送電話で事務を請け負っている会社や別名義の実態のある会社に飛ばされる。と言うことは、特にヤクザ系の会社では昔から非常に良くあることで、大体は警察との対応対策もあって、ダミーの事務所の部屋程度は登記上の住所に借りておいて留守番と郵便預かるのを兼ねた担当者が置かれていた物で、今は電話番もやってくれる貸しオフィス会社なんてのも良くあるようになってしまっているのですが、 もっとえげつない手段も常態化していたようで、中国産の鰻を三河一色産として出荷していた鰻の産地偽装事件 [maff.go.jp]の事例なんかを見ていると、 (前掲のリンク先の農水省サイト内プレスリリースより)
1. 株式会社魚秀︵本社‥大阪市中央区平野町3丁目4番9号。以下﹁魚秀﹂という。︶及び神港魚類株式会社︵本社‥神戸市兵庫区中之島1丁目1番1号。以下﹁神港魚類﹂という。︶は、中国産うなぎ蒲焼きに、製造や販売の実態のない架空会社を表示し、愛知県三河一色産として販売していたことを確認しました。 2. このため、本日、魚秀及び神港魚類に対して、JAS法に基づく指示を行いました。
(中略)
(ウ) 産地偽装を隠蔽するため、以下の行為を行っていたこと。
(a)原料原産地を﹁愛知県三河一色産﹂と表示し、製造や販売の実態のない架空会社﹁有限会社一色フード︵※︶︵愛知県岡崎市一色町字一色119-20。以下﹁架空会社﹂という。︶﹂を製造者と表示して販売したこと。併せて、架空会社の名前で、愛知県三河一色産である旨保証する産地証明を発行したこと。
︵※︶登記なし。住所も架空
この場合は登記すらない上に架空の住居のトンネル会社を使って責任所在を完全に抹消しようと企てて、とりあえずはマンマとやっていた訳ですが、産地偽装工作がバレたついでに運悪く︵?︶トンネル会社に実体がないこともバレた。
逆に考えると、ダミー会社がバレるにしてもバレないにしても、貸しオフィスとか虚構の住所を使うという手段は常態化しているわけで、
B-CASの会社であるBSコンディショナル社に関しては登記簿などから調べられるのを嫌って﹁きちんと﹂表向きのオフィスはワンルーム借りて作ってあるのでしょうが、
そこでは事務や経理も含めた経営に関係する行為が全く行われていない・全ての業務はNTTデータに丸投げされて、不得意な部門や自社でやったら高コストな業務は下請け・孫請けを使っている …多分、そのあたりが露呈された場合に備えて、b-cas.jpのドメイン保有者であるNTTメディアクロス社に業務委託する形を取っているのでしょうけど。
Re:もう少し邪推(Re:証明書の組織名とドメインの名前が違うから乗っ取り? (スコア:1, 参考になる)
http://gigazine.net/index.php?/news/comments/20080625_bcas/
傘立ての様子から見て,最低20人ぐらいのスタッフはいるのではないでしょうかw まあ,アヤシイというほどではないですが,業界団体の事務局レベルな感じですね。少なくても事務業務以上の機能はないでしょう。
Re:もう少し邪推(Re:証明書の組織名とドメインの名前が違うから乗っ取り? (スコア:1, おもしろおかしい)
Re: (スコア:0)
Re:もう少し邪推(Re:証明書の組織名とドメインの名前が違うから乗っ取り? (スコア:1)
もしかしてNTT DATAなどは、こういった官製ファミリー企業向けの丸ごと請負パックを 作って売り込んでいるのかもしれませんね(笑)
手間暇 (スコア:4, 興味深い)
総額でいくらかかったんだろうなぁ、と想像してしまうのは僕だけですかね。僕だけですね。
元サイトは元サイトで不思議なことになってます (スコア:4, 参考になる)
URLに件のCNを指定してアクセスすると、今度はOpera9.5が﹁公開鍵が短いよ﹂と警告してきました。
Re:元サイトは元サイトで不思議なことになってます (スコア:5, 興味深い)
https://mmm3090.wh2.ocn.ne.jp/ にアクセスしてみると空っぽです。 で、このサーバ証明書のRSA公開鍵が、なぜか、768ビットになってる!! 512ビットのRSAは今やすぐに破られると聞いてますが、 768ビットもそろそろヤバいんじゃないでしょうか。
証明書の内容は以下。
mmm3090.wh2.ocn.ne.jp NTT Communications Corporation Customer Service Department Chiyoda-ku Tokyo JP
Re:元サイトは元サイトで不思議なことになってます (スコア:2, 参考になる)
小さいところなんか多いんじゃないかと (スコア:4, 参考になる)
私はフリーですが、広告代理店から丸投げされて代理店名義で勝手に設定しています。 本来なら発注元のクライアント名義でなくてはならないのですが、所定の押印が必要な書類の準備が﹁そんな時間が無い﹂とか﹁更新の度にお願いするのは難しい﹂とか顧客思い違いな﹁手間をかけさせたくない﹂という理由でそうさせらてれいます。 あと、﹁お客に︵実在確認の︶電話が行ったりしてもネットに弱いから対応できないし﹂とかも言われた事が。
いま、そんなサイトをいくつか抱えています。 ちゃんと調べて数えたら結構な数になるんじゃないですかね。
フォームもエラーになります (スコア:3, 興味深い)
サポートに電話したらたまにそういう話を聞くと他人事、人任せのような応対でした。黙っていてもお金が入る組織みたいだし役員の名前知りたいですね。知られたくないから出していないんでしょうが(と勘ぐる)。
まあ同封のハガキに書き込んで送ればいいのですが少しでもエコをと考えた結果電話代を損するはめに。うちはIP電話なんで0570つながらないのです。
役員の名前 (スコア:3, 参考になる)
こちらに全部のってます
#この時 [srad.jp]とはだいぶ変わってるな・・・
Re:役員の名前 (スコア:1, 興味深い)
代表取締役社長 浦崎 宏 (元NHK総務局長、元NHK静岡放送局局長)
代表取締役専務 吉永 弘幸 (元WOWOW常務取締役・放送・事業統括本部長)
取締役 鏑木 耕二 (元東芝)
取締役(非常勤) 森 茂雄 (NHK視聴者サービス局長)
取締役(非常勤) 奥村 直司 (松下電器産業株式会社)
取締役(非常勤) 田胡 修一 (株式会社日立製作所コンシューマ事業グループ コミュニケーション・法務部部長/JEITA)
取締役(非常勤) 関根 太郎 (不詳)
取締役(非常勤) 岡本 光正 (株式会社東芝執行役常務)
取締役(非常勤) 加藤 武夫 (株式会社BS日本取締役)
監査役 吉田 朗
監査役(非常勤) 宮本 敦浩 (不詳)
監査役(非常勤) 佐藤 和仁 (WOWOW取締役IR経理担当)
役人の天下り先ってことでしょう (スコア:3, すばらしい洞察)
もっと単純に考えよう (スコア:3, 興味深い)
ついこの間までは所在地や役員の名前すら隠していた利権団体ですよー?
Re: (スコア:0)
ドメインと証明書名義は一致してるんですが…… (スコア:3, 興味深い)
イーヤマのPCリサイクル申し込み [iiyama.co.jp]
同意すると、異なるドメイン下にあるhttps://secure01.red.shared-server.net/www.iiyama.co.jp/support/recycle/application/index.htmlというURLに飛ばされます。どうもアイル [isle.ne.jp]のサービスらしいのですが、危険な香りプンプンな飛び具合です。
イーヤマに対して﹁このサイト、本当に大丈夫?﹂と問い合わせをしたところ、他の事例が無く原因不明、FAXフォームもあるんでそちらでよろしく、というトンチンカンな答えが返ってまいりました。
それどころではない (スコア:1, おもしろおかしい)
Re:それどころではない (スコア:2, 参考になる)
ITproサイト:B-CAS見直しが本格始動,「2011年までに改善策決め運用開始」http://itpro.nikkeibp.co.jp/article/NEWS/20080625/309410/
B-CAS社 (スコア:1, すばらしい洞察)
住所を公開したくなかった? そうなるとSSL証明書は取れない。だから他人名義で通すしかなかった、とか。
Re: (スコア:0)
たぶん、そうなんでしょう。
> だから他人名義で通すしかなかった、とか。
そこで無理せず、サービス全体をNTTデータに委託する方向で考えてほしかったですね。
べつに間違ったことじゃない (スコア:1, 興味深い)
高木氏も次の日のエントリー [takagi-hiromitsu.jp]で、銀行のEV-SSLの例を挙げて、NTT DATAになっているのも悪くないと言っていますよ。
Re:べつに間違ったことじゃない (スコア:2, 興味深い)
1つ目は、co.jpドメイン(登録には、簡潔ながら、企業の存在確認、担当者の存在確認、業務内容の審査がある)から、汎用jpドメイン(誰でも自由に登録できる)へリダイレクト。といった、ドメイン(間の主従関係が全く無い)ダウングレード。逆に、必要な説明とともにb-cas.jpからb-cas.co.jp(または、b-cas.co.jpからnttdata.co.jp)へ、リダイレクトされていたならば、話題にすらならない可能性が高い。しかし、今回件の場合、構築、運用担当者のPKIに対する理解力の程度は知れたもので、﹁NTT DATAが著名企業だから(ユーザが﹁きっと安全なアウトソース先であろう﹂と仮定して)信頼してOK﹂という高木論は、厳密には問題かと。 実際問題として、件のSSL証明書はEV SSLでないだろうし、現場感覚として、EV SSL(対応Webブラウザ)はスタンダードと言えない状況だと思う。
2つ目の、代行申請、取得、運用は問題ないという判断は正しいと思うけど、使用、運用者が所有権を主張する証明書は拙い(これは証明書を発行した認証局のポリシ、もしくは商品である証明書グレードの問題)。 例えば、多くの銀行は、ノンバンクに看板を貸し出して自社ブランドの金融商品を扱っており、どのノンバンクの金融商品かを明らかにしている銀行もあるけれど、多くの場合、エンドユーザの立場としては対銀行として取り引きしており、看板の信頼性はノンバンクではなく、銀行にあるという認識が正しいはずで、実際の契約、契約後のトラブル窓口は、銀行が対応すると期待してサービスを利用するのではないかと思うし、(契約後はアウトソースというパターンが多いものの、)その方が信頼性が高い上、安心感がある。 これは、SMB○に契約に行ったはずが、担当者はSMB○の制服を着たプ■ミスの職員だった(可能性がある)という状況に近く、﹁担当者(プ■ミス職員)が(SMB○職員を)偽装していた可能性を検証したところ、正規の職員ではない外部委託の可能性が高そうで、渡された契約書もプ■ミスと契約締結するものだったが、その説明が無かった﹂という程度の検証にしかならないのでは。
要は、この程度の曖昧さを許してしまうと今後のドメイン、PKI運用もアレですなぁ、というか、(信頼性でなく、)知名度がNTT DATA以下のアウトソースを許さないような迂闊な表現を鵜呑みにしていては、先が思いやられる、と、感じた次第。今一度熟考されたし。
Re: (スコア:0)
まぁ、大企業の不正意識なんてそんなもんじゃないですかね。
Re: (スコア:0)
重箱の隅つつきすぎ (スコア:0, 荒らし)
もしくは誰も悪くない。
Re:重箱の隅つつきすぎ (スコア:1, すばらしい洞察)
>検証され信頼できる運営者情報はありません
やっぱりB-CAS社って悪の結社だったんだ。
Re:重箱の隅つつきすぎ (スコア:1, すばらしい洞察)
これを﹁重箱の隅﹂って言う人は、普段SSL使うとき何を確認して﹁安全﹂って判断してるんでしょう?
Re:重箱の隅つつきすぎ (スコア:2, すばらしい洞察)
あなたもSSL で﹁安全﹂を確認できるかのような書き方はやめましょう。 リクエストしたサーバーに間違いなく接続され、盗聴もされていない、それ以上のものではありません。 自分の指定したアドレスがそもそも間違ってないかどうか、 そして接続したサーバーが果たして﹁安全﹂で信用して良いサーバーかどうかを判断するのは利用者の責任です。
Re: (スコア:0)
Re:重箱の隅つつきすぎ (スコア:5, 興味深い)
ベリサインのWEBサイトに、堂々とこう書いてあります。
この業務を宣伝通りちゃんとやってたら、NTTデータがBCASのサーバ証明書を取得できるわけがない・・・のではないかと、直感的には思うのですが。Re:重箱の隅つつきすぎ (スコア:2, 参考になる)
Re:重箱の隅つつきすぎ (スコア:1)
Re: (スコア:0)
Re: (スコア:0)
ってか騒いでいる人達ってこのサイトが丸投げ以外のどんな方法で作られていると思っているんだろうか?
彼等が自分で作る訳無いじゃないかってトコロで御用企業の登場な訳なんだが。
Re:重箱の隅つつきすぎ (スコア:5, おもしろおかしい)
NTTデータの中の人﹁あ、あのぅ、証明書にサイトの責任元の組織を書かなきゃいけないんですけどぅ なんて書きましょうか?﹂ B-CASの中の人 ﹁あ"?責任元?お前らだろ? あ?﹂ NTTデータの中の人﹁ひっ! …あのっ、えぐっ、そ、そうじゃなくて…﹂ B-CASの中の人 ﹁なんだぁ?俺らに責任を負わせようっていうんか?!あァ!!﹂
こんな感じで、渋々やったんじゃないかと。
# …実際のNTTデータはこんなにかわいくないが。
# mishimaは本田透先生を熱烈に応援しています
Re: (スコア:0)
中小ソフトハウスのようなキモヲタ君には一生ツンのまま。
Re:重箱の隅つつきすぎ (スコア:1)
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
認証局が大丈夫だと発行した証明書であれば問題ないはずです。 問題があるとすれば、この証明書を発行した認証局のはずです。
B-CASを責めるのはお門違いだと思うのですが。
まずはB-CASを責めるべきだろ (スコア:1, すばらしい洞察)
たとえば、役所に不正な転居届けを出して健康保険証を搾取するという詐欺手口が 問題化したこともあったが、最も悪いのは私文書偽造を行った犯人であって、 受け付けてしまった役所の不手際はその次だ。
少しは常識で考えろ。
だいたいさ、重箱の隅とかほざくけどさ、そもそもB-CASが社会的に全く不必要であり、 あえて言えば有害な存在でしか無いから些細な事でも問題視されるんだろ。 これだけ広範に個人情報を収拾する公益性の高い事業なのに、肝心の情報セキュリティは ザル同然、個人情報は平気で流出させる、反面、国民利益に相反する部分のセキュリティ は不必要に強固、自分達の情報は徹底的に隠蔽と、まさにこの糞企業は救い難い。
創設以来の赤字垂れ流しを﹁著作権﹂の美辞麗句で補填した挙句に利権化しようだなんて どこの極悪人だよ。利権としては戦後最悪だろ、これは。
Re: (スコア:0)
…だけど悲しいかな、マスコミは取り上げないのよね。身内のことだから:-p
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
コピーワンスであるなら、もっと使い勝手はよいです^^
ある企業のWebサイトで使われるSSL証明書が、ほかの組織名義に (スコア:0)
よく使ってる某銀行のオンラインバンキングのサイトが、やっぱNTTデータ名義の 証明書になってる。 まぁ元々そのサイトのドメイン自体、銀行のドメインじゃない(anser.or.jp)ので しゃーないっちゃしゃーないが。あまり気持ちのいいものではない。
銀行なんかでも丸投げしてるみたいだし (スコア:0)
セキュリティホール memo [ryukoku.ac.jp]から 高木浩光@自宅の日記 - 地方銀行のEV SSL対応はどうなったか [takagi-hiromitsu.jp]の エントリで知ったのだけど。
ここもそうなのかも
Re:銀行なんかでも丸投げしてるみたいだし (スコア:1, おもしろおかしい)