投稿日:

安価な電子証明書の問題

インターネットショッピングにおいて、個人情報登録画面、決済画面など、 重要な入力が行われる場面では SSL による通信の保護が行われるのが一般的となったと思われる。 SSL ではサーバ証明書を使って二つのことが行われる、 一つは通信の保護、 つまり、やりとりの暗号化(および完全性の保証)である。 もう一つは、サーバの認証である。 筆者の私見かもしれないが、後者について顕在化しつつある問題をとりあげる。

電子証明書のピンとキリ

電子証明書に種類があるのを御存知だろうか。 ここでは価格面で比較してみよう。 Verisign 社では「セキュア・サーバ ID」と 「グローバル・サーバ ID」の二種類があり、 前者は 85,050 円、後者は 144,900 円。 Geotrust 社では「クイック SSL プレミアム」が 36,540 円、 「トゥルービジネス ID」が 62,790 円(いずれも一年有効の場合)となっている。 安いものと高いものでは四倍くらいの差がみられるが、 この価格差はどこから生じているのだろうか。

電子証明書としての機能に違いは無い。 いずれも SSL サーバ証明書としてウェブサーバにインストールし、 同じ強度の暗号化を提供することができる。 違うのは、電子証明書を発行する際の手続きにある。 数年前まで電子証明書の発行には、 身元確認、実在確認のため、 企業体であれば、 登記簿謄本の写し等を提出し、 電話もしくは訪問によるヒアリングを受けるといった手続が要求されていた。 この手続のため、電子証明書の申請から発行まで一ヶ月程要していた。

電子証明書がサーバの所有者、サービスの提供者を証明するものだと考えれば、 このくらいの手続を行うのが当然ということなのだが、 一ヶ月という期間の長さは仲々に理解を得られにくいのも事実であり、 ここのところ、 申請されたサーバのホスト名、 ドメイン名と関連する電子メールアドレスによる確認作業を行うことで、 従来の実在確認の代わりとする、 エクスプレスとかクイックとかいう簡易発行サービスが増えてきた。

例えば、www.example.co.jp というサーバの証明書申請を David さんが行い、自身の連絡先を david@example.co.jp と登録する。 認証機関は david@example.co.jp に電子メールを送り、 David さんは、そのメールに返事をする、 といったことである。 この方法では、example.co.jp というドメインが存在し、 電子メールが到達することを確認したに過ぎないが、 少なくとも、example.co.jp ドメインの所有者(組織)によって、 電子証明書取得申請が行われたことだけは確認できたことになる。

安価な電子証明書の問題

そのような安直な証明書で何を証明できるかという気にもなるが、 ドメイン自体が信頼性の高いもの、 広く衆知されているもの、 例えば、kantei.go.jp (首相官邸)、 mri.co.jp (弊社?)などであれば、 その信頼性を借りて、サーバ証明書の信頼性を評価してよい。 特に、日本国内では、go.jp(政府系)、co.jp(法人)、 これらのドメインはドメイン取得時に実在確認が別途行われるので、 証明書発行時に再度の厳密な実在確認を行わなくとも十分と考えることができる

問題はドメイン自体の信頼性が低い場合である。 日本においては、 汎用ドメイン(example.jp のような第二ドメインが無いもの)は、 ドメイン発行時に厳密な実在確認を行っていないので、 正直な話、どこの誰やらわからないというものがある。

名称自体に信頼性のあるもの、企業名、商品(ブランド)名のドメイン、 こういったものには格別の配慮が必要である。 筆者、「うまい棒」が好きなのだが、 UmaiBou.jp(実在しない)というサイトで「うまい棒、新味アンケート、うまい 棒、一年分プレゼント」を行っていれば、 思わず個人情報を入力してしまいそうである (うまい棒は「やおきん」の登録商標、だと思います)。 実際、フィシング詐欺は、よく知られた企業名、商品名を悪用して行われている。

このようなドメインにおいて機微情報を入力する際には、 SSL で通信が行われていることだけではなく、 どのような種類の証明書が使われており、 その証明書はどのような実在確認が行われたものであるのかまで知る必要がある。

電子証明書の読み方

証明書はどのように読めばよいのかを、簡単ではあるが紹介する。 SSL 通信が行われている場合、ブラウザの右下に鍵マークが表示される (IE 7 ではアドレスバーの右)。 ここをダブルクリックすると電子証明書の内容が表示される。 ポイントは発行対象(Subject)の組織名と、発行者(Issuer)の組織名である。 発行対象組織名に聞き覚えがあること(閲覧しているウェブサイトと関連がある ことを知っていること)が第一に重要である。 電子証明書の種類は発行者の組織名または部門に記載がある。 ただし、証明書を見ていても実在確認の方法はわからないので、 電子証明書発行者のウェブサイトなどで知る他に方法がない

筆者は証明書マニアであり、証明書は必ず読むようにしている。 このような人は相当に少数派と思われ、証明書確認は非常に不便に出来ている。 ここのところ、ブラウザの拡張で実装できないか考えているところである。

電子証明書が使われている、 つまり SSL で表示されるウェブサイトは安全、 とは限らないことを理解していただけたであろうか。 サイトの信頼性、安全性は、最終的には利用する本人が判断せざるを得ないもの である。 このような危険があることを理解し、 危険を回避するためには、 電子証明書がどのようなものなのか、 どうやって安全を提供しているのか、 そこのところにも興味をもっていただきたい。