国民ID時代の電子認証のあり方 ――Security Day 2009
16日、国内のセキュリティ関連組織、情報通信関連機関や団体のセキュリティプロフェッショナルが集まる「Security Day2009」が開催された。ITや情報セキュリティの専門家が、日ごろの取り組みや活動について発表やパネルディスカッションを行うものだ。その第1セッションでは、「電子認証のあり方―これまでの10年と今後の方向性」と題して各界からPKIや電子認証の専門家をパネラーに迎え、議論が行われた。 電子認証の普及度 モデレータは、セコムIS研究所 松本泰氏。パネラーは内閣官房情報セキュリティセンター 中西悦子氏、東京工科大学 手塚悟氏、イマーディオ 満塩尚史氏、日本電子認証協議会 秋山卓司氏の4名だ。 議論は、モデレータの松本氏による現状のネット社会の信頼性とその背景となる電子認証が必ずしもネットの信頼(TRUST)や社会やビジネスのために役立っていないのではないかという問題提起から入
SSL証明書を使う詐欺サイトが急増、乗っ取りサーバで運営
セキュリティ企業の米Symantecは7月8日のブログで、詐欺サイトが正規のSSL証明書を使い、正規サイトを装う手口が見つかったと伝えた。ユーザーはSSLがあるために安心して個人情報などを入力してしまうという。 Symantecによると、SSL証明書を悪用した詐欺サイトは過去1カ月の間に急増した。攻撃側は、SSL証明書を取得したWebサーバを1つ乗っ取れば、そのサーバを使って多数のフィッシング詐欺サイトを運営することが可能になり、情報詐取の成功率も高まる。SSLが使われ鍵のアイコンが表示されるために、ユーザーは正規サイトだと思い込んでしまうという。 この手口を使って実際に、大手サイトを装うフィッシング詐欺が発生している。詐欺サイトかどうかを見分けるためにはSSL証明書をチェックするか、認証機能を強化したEV(Extended Validation) SSLをあてにするしかないという。 旧バ
高木浩光@自宅の日記 - EV SSLを緑色だというだけで信用してはいけない実例
■ EV SSLを緑色だというだけで信用してはいけない実例 EV SSLに関して以前から懸念されていたことが既に現実になっていた。一時期、EV証明書を発行する一部のCA事業者が、EV SSLの宣伝で「緑色になったら安全」などといいかげんな広告を打っていて、誤った理解が広まりかねないと心配されていたわけだが、「緑色になったら安全」という理解がなぜ駄目なのか、その理由の一つは、いわゆる「共用SSL」サービスにEV SSLが使われかねないという懸念だった。 そして、その実例が既に存在していたことに気付いた。図1は私が作ったWebページである。 アドレスバーは緑色になっているが、ここに入力されたデータは私宛にメールで送信*1されてくる。(このページは既に閉鎖している。) 悪意ある者がこうしたページを作成*2し、何らかの方法でこのページに人々を誘導*3すれば、フィッシングの被害が出るおそれがある。
サイバートラスト、2010年以降も使える2048ビット鍵長のEV SSL証明書
サイバートラスト株式会社は12月1日、2048ビットの鍵長を有するEV SSL証明書「SureServer EV[2048bit]」を発表した。同日から販売開始する。 EV SSL証明書の仕様は、世界の主要な電子認証局(CA)とWebブラウザベンダーによる非営利団体「CA/Browserフォーラム」で統一規格が定められており、公開鍵長が1024ビットのEV SSL証明書の利用は2010年12月31日までに制限されている。SureServer EV[2048bit]は、それ以降も利用が可能な2048ビットの鍵長を持つEV SSL証明書。 一般的に2048ビットのサーバー証明書では、携帯電話の対応範囲が低下することが問題となるが、SureServer EV[2048bit]では、利用率ベースで約99%のカバレッジを実現しているのが特長という。 また、複数のサーバー証明書の有効期間合わせや、事前
自堕落な技術者の日記 : 鍵マークはニセサイトを見破るのに本当に有効か? - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 情報処理推進機構:情報セキュリティ:調査・研究報告書:情報セキュリティに関する脅威に対する意識調査 報告書 せきゅめもで書かれていたことも、IPA報告書もちょっと違うんじゃないかなぁと思いまして、ひとこと書いてみたいと思います。 IPAで行われたセキュリティの意識調査の報告書で被験者の方に以下のような質問をしており正解は「○」だったりします。 ブラウザの SSL の鍵マーク (サイトの証明書) を確認することは、偽サイトかどうかを見破るのに有効です 正解「○」 この問題の正解率は35.5%だったそうで、せきゅめもさんとこでは設問を勘違いしたのでは?という論調だったんですが、EV SSLサーバー証明書(以下EV証明書)を知っている人なら、この設
見えてきた効果と課題、EV SSLでWebの安全性はどう変わる?【第二回】
EV SSL証明書はどのくらい普及が進んだのだろうか。また、導入による企業のメリットとは何か。日本ベリサイン、マーケティング本部 マーケティング部プロダクトマーケティング プロダクトマネージャの阿部貴氏によれば、意外なメリットと問題が同時に見えてきたという。2回目となる今回は、導入企業や導入を検討する企業を取り巻く状況を紹介する。後半では、新しく標準化された審査内容や、導入を検討する企業が用意しなくてはならない書類などをまとめてあるので参考にしてほしい。 ■ 導入状況はまだまだ過渡期 EV SSL証明書の導入状況はどうか。VerisignのEV SSLでは「3けたの導入実績があるが、それでもSSL証明書全体でみれば0.5%」(阿部氏)と必ずしも多くはない。業界全体としてもまだまだ過渡期といえる。だが、少しずつ普及が広まっているのも事実である。 同氏によれば、「金融系から始まった導入が、最近
【インタビュー】EV SSLとSSL、その違いと信頼基盤としての認証局の取り組み - ベリサインに聞く(2) | ネット | マイコミジャーナル
EV SSLと従来のSSL、2種類のサーバ証明書はどう違う? 日本国内でも金融機関をはじめ、様々な業種のWebサイトにEV SSL証明書が導入されるケースが増えている。その証明書は、マイクロソフトなどのWebブラウザベンダやベリサインなどの認証局(CA、Certificate Authority)などで構成される「CA/ブラウザフォーラム」が策定した世界共通の審査基準のもとで発行されるが、従来のSSLサーバ証明書とくらべ何がどう変わったのか。また発行される証明書自体に違いはあるのだろうか。日本ベリサインの平岩義正氏と上杉謙二氏に、従来のSSLとEV SSLという2種類のサーバ証明書の相違点と、認証業務を行なう認証局自体の信頼性について聞いた。 日本ベリサイン マスマーケット営業部 部長 平岩義正氏 日本ベリサイン マーケティング部プロダクトマーケティング シニアプロダクトマネージャ 上杉謙
発行・管理の手間が軽減できるサイバートラスト製のEV SSL証明書
サイバートラスト株式会社は2月20日、EV SSL証明書「SureServer EV」の提供を3月初旬より開始すると発表した。 「SureServer EV」は、アドレスバーを緑色に変色する機能を持つEV SSL証明書。各社から提供されているが、サイバートラスト製品の特長としては、携帯電話や「Trusted Webシール」に対応する点などが挙げられる。Webブラウザ上で時刻表示をする同シールは、サイバートラストにより認証されたWebサイトであることを証明するもので、リアルタイム生成、フィッシング対策に有効なコピープロテクト機能が実装されている。 また、「有効期間合わせ」が可能となっており、サーバー証明書更新の運用効率を上げる意味で、バラバラの証明書有効期限を任意にそろえることができる。さらに発行権限をユーザー自社で管理する「SureHandsOn」サービスにも対応。厳格な審査を行うEV S
「EV SSL」導入サイトが増加中、1年で4000件を突破
図1 「EV SSL」導入サイト数(EV SSL証明書発行数)の推移(英ネットクラフトの発表資料から引用。以下同じ) インターネット上のWebサーバーの調査などを実施している英ネットクラフトは2008年2月17日、「EV SSL」を利用しているWebサイトに関する調査結果を発表した。それによると、EV SSLの導入サイト数は着実に増加しており、2008年2月には4000件を突破したという。(図1)。 EV SSLとは、一般のサーバー証明書(サーバー用電子証明書)よりも厳格な審査によって発行されたサーバー証明書(EV SSL証明書)を利用するSSLのこと。EV SSLに対応したWebブラウザーでは、EV SSL証明書を取得しているWebサイトにアクセスすると、アドレスバーが緑色に表示されるなどして、通常のSSLサイトとは異なることが分かる。Internet Explorer 7(IE7)はE
金融業界で広がる強化版SSL、日本ではモバイル版も
日本ベリサインは、強化版SSLの「EV SSL」証明書の最新動向を説明。国内では金融機関での採用が急速に広がる。 日本ベリサインは11月19日、機能を強化したSSL「Extended Validation(EV) SSL」サーバ証明書に関する説明会を開催した。国内では金融機関での採用が進み、携帯電話に対応した製品も登場している。 EV SSLは、主要ブラウザベンダーや認証機関が参加する米CA/Browser Forumが2006年に策定し、同年12月から日本以外の地域でリリースされた。国内では1月に設立された日本電子認証協議会がEV SSLのローカライズ化(法人名称の表記ルールなど)を図り、3月に国内版をリリース。8月には携帯電話向けEV SSLも公開された。 米VeriSignプロダクトマーケティングディレクターのティム・カラン氏は、EV SSLリリース後の動向について説明した。同氏によ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://japan.internet.com/webtech/20090206/6.html
http://japan.internet.com/webtech/20080724/5.html
日本ベリサイン - Enterprise & Internet Security Solutions
Extended Validation SSL Certificates now 1 Year Old | Netcraft
EV SSL証明書、誕生から1年で採用はわずか0.5%~英NetCraft調査