いろいろやってみるにっき

なんとか自分の会社を立ち上げるところまで漕ぎ着けた、てきとーに生きている奴の日記

関連記事を探すときは、読んだ記事と同じカテゴリをクリックしてください。

記事のカテゴリは記事タイトル下に表示されています。カテゴリ一覧はサイドバーにあります。


国勢調査オンラインはトップページをhttp://で案内してるし、使っている証明書はOV SSL証明書だしちょっと問題あり

【追記 2015/09/15 10:50】書き方が悪かったようで、go.jpなんだからEV SSL証明書じゃなくていいだろというコメントが付く。意図を説明しておく。

EV SSL証明書を使うと、下記のようにブラウザのURL欄を見れば正規のサイトであることが一目瞭然。そのため毎回細かくURLを確認する必要が無い。幅広い利用者がいる今回の国勢調査オンラインの場合、利用者にリテラシを求めるより、見て分かるほうが一定のセキュリティを担保しやすい(フィッシングサイトに引っ掛からない)と考える。

http://cdn-ak.f.st-hatena.com/images/fotolife/s/shigeo-t/20140612/20140612150210.png

http://cdn-ak.f.st-hatena.com/images/fotolife/s/shigeo-t/20140612/20140612151257.png

スクリーンショット【20140614加筆・訂正】三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意!」そっくりらしいのだが、なんでURLをチェックするように指示してEV SSL証明書をチェックするように指示しないのか不明なので色々調べてみた。 - いろいろやってみるにっき より

 

実際にhttp://www.e-kokusei-go.jpを作った人もいたわけで(現在は削除メッセージのみ)、go.jpだからEVである必要は無いと書く人達のように高いリテラシを持っていない人を、安全に誘導するならEVのほうがラクである。

もちろん、EV SSL証明書はサーバ証明書に過ぎず、できることは限られるわけで、手段の一つに過ぎないことは言うまでもない。

 

----元々のエントリはここから----

まだ国勢調査の回答をしていなかったのだが、こんなツイートが流れてきた。

これは調べてみるしかない。

来ている封筒の中を見てみた 

封筒に回答期限が9/20までと書いてあったので、まだ中を見ていなかった。

 まずA3折込冊子。高田純次のようにテキトーでいいということを暗示しているんだろう。表紙は情報量が少ない。

f:id:shigeo-t:20150913030108j:plain

見開きの左はアクセス方法。PCの場合はURLの入力、スマホなどの場合はQRコードからアクセスという説明。ここの説明ではアクセス先はhttp://になっている。「検索してもアクセスできません」と書いてあるので、そういう意味ではフィッシングサイトにアクセスする可能性は少ない。

その後、操作方法の説明に進む。

f:id:shigeo-t:20150913030301j:plain

見開きの右側は操作方法の続きと利用環境。ここまでは特に問題ない。書く順番は利用環境→アクセス方法→操作方法のほうが素直だと思うけど。ところでWindows XPだときちんとリジェクトするんだろうか。XPはVMで残してあるので、気が向いたらアクセスしてみる。

f:id:shigeo-t:20150913030607j:plain

裏表紙には注意事項等。ここでもアクセス先はhttp://である。SSL/TLSの説明はあるけど。だったらhttps://でいいよね、最初から。

f:id:shigeo-t:20150913030456j:plain

もう一枚。これが話題のID/パスワード。これ封の無い封筒に入ってポスティングされてたんだぜ。これが一番手っ取り早い方法だけど、仮コードだけ配って住所とかから左上のコードを割り出して(どうせ事前に振っているんでしょ)、そこでID/パスワードを生成するとか、なんか手を考えなかったんだろうか。

f:id:shigeo-t:20150913045408j:plain

アクセスしてみる

まず手っ取り早くQRコードでアクセスしてみた。確かにhttp://である。

f:id:shigeo-t:20150913031518p:plain

まあこっちはいい。

さてPCで手入力。http://www.e-kokusei.go.jp/ にアクセスするとhttp://www.e-kokusei.go.jp/pc/portal/top.htmlにリダイレクトされる。[回答する]をクリックしてみる。

f:id:shigeo-t:20150913031959p:plain

f:id:shigeo-t:20150913032131p:plain

「はじめに」というページに遷移。ここもhttp://である。[インターネット回答をはじめる→]をクリックする。

f:id:shigeo-t:20150913032039p:plain

f:id:shigeo-t:20150913032139p:plain

ログイン画面になってhttps://になった。

f:id:shigeo-t:20150913032353p:plain

f:id:shigeo-t:20150913032450p:plain

証明書を見てみる。OV SSL証明書である。f:id:shigeo-t:20150913032552p:plain

f:id:shigeo-t:20150913032550p:plain

Chromeで証明書を見た時の表示内容の説明はサイバートラストの説明が分かりやすい。  Certificate Transparency について|サイバートラスト

証明書の種類は以前書いた。再掲する。

 

 DV

 OV

 EV

 認証のレベル

 低レベル

 高レベル

 最高レベル

 企業の実在確認

 ×

 ○

 ◎

何度でも書くけどTwitterでさえEV SSL証明書である。こんなところでケチってどうするんだよ、総務省統計局。

f:id:shigeo-t:20150913033658p:plain

 最初からhttps://でアクセスしてみる

流れてきたツイートでは最初からhttps://でもアクセスできるとあったので、最初からhttps://でアクセスしてみる。問題ない。

f:id:shigeo-t:20150913033913p:plain

f:id:shigeo-t:20150913034003p:plain

ここをhttps://で用意しているなら、全部https://で案内すればいいはず。なんでトップページ、「はじめに」ページをhttp://にしたんだろう。

そのほか気付いたところ

ログインするとURLの後ろのほうにreqNoが付く。

f:id:shigeo-t:20150913035047p:plain

ログアウトしても残っている。上のスクリーンショットとreqNoが異なるのは、ログインし直したため。なんかセションの通番っぽい。ハッシュしてないのは気になる。なんぞ脆弱性無いだろうな。

f:id:shigeo-t:20150913035128p:plainまとめ 

説明ではQRコードか手でURL入力なので、メールや検索エンジンなどでフィッシングサイトに誘導されるおそれは少ない。

とはいえEV SSL証明書を使っていないのは問題である。http://www.e-kokusei.go.jp/を改竄されてよそに誘導されたら、多分普通の人には分からない。クラックする側に特に(金銭的な)メリットは無いサイトなのでクラックされる可能性は少ないかもしれないが、どこにでも愉快犯はいる((追記9/15 9:00)いた:http://www.e-kokusei-go.jp)。

あとreqNoがハッシュされていないのも気になる。一応、別の数字を適当に入れてみたけど、よその番号では動かないようにはなっているが、こういうのってちょっとでも突っつきにくくしておくもんじゃないのか?MITMでやられた時、こんな単純な作りだと攻撃しやすい。

まあreqNoは問題ないとしても、なんか別の場所でやらかしてないか心配になる。

あと、ID/パスワードを封をしてない封筒に入れてポスティングするのはどうかと思う。次回はもうちょっとエレガントな方法で解決してもらいたい。いや、封をするだけで解決か?

おまけ

一応aguseで見てみた。aguseの説明は下記エントリで。 

IIJで動いているんだな、ここ。

f:id:shigeo-t:20150913042637p:plain

f:id:shigeo-t:20150913042806p:plain

 IIJ GIOではWAF(Web Application Firewall)のサービスやってるけど、aguseだとWAF入っているかどうか分からないな。まあオレの見方の問題かもしれないが。こんな感じだとWAFが入っていれば少しは安心度がアップするんだが。

ちなみに何度もアクセスしてみると、異なる逆引きホスト名やIPアドレスが帰ってくるので、ロードバランスはされている。

実践 Metasploit ―ペネトレーションテストによる脆弱性評価

実践 Metasploit ―ペネトレーションテストによる脆弱性評価

 
実践ネットワークセキュリティ監査―リスク評価と危機管理

実践ネットワークセキュリティ監査―リスク評価と危機管理