フィッシング対策ソリューションをSSL ベンダーが売るみたいです。
いつの間にか6月も終わりです。
決して投げていたわけではありません。
忙しかったんです。
最近は、SSL サーバ証明書 自体のプレスリリースやらがなかったので、しばらく
ぼーっとしておりました。
geotrustに至っては、システム障害のニュースしか出ていないし(苦笑)
ところで半年前とかに比べると、フィッシング詐欺の被害報告とか、情報漏洩の事
件なんかが、ずいぶん聞かれるようになりましたね。
SSLサーバベンダー日本ベリサイン
と日本コモド
が証明書以外に「フィッシング
対策ソリューション」を発表したので、ちょっとそれについて触れてみようかなと。
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
日本ベリサイン
6月28日
「野村総合研究所、NRIセキュアテクノロジーズ、日本ベリサインが共同でフィッシ
ング対策ソリューションの提供を開始」
株式会社野村総合研究所(本社:東京都千代田区、社長:藤沼 彰久、以下NRI)、
NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、社長:寺田洋、
以下NRIセキュア)、日本ベリサイン株式会社(本社:東京都中央区、代表取締役
社長兼CEO:橋本 晃秀、以下日本ベリサイン)は共同でフィッシング詐欺対策ソリ
ューションの提供を開始します。
~中略~
このソリューションでは、NRIのWeb3階層システム開発・実行基盤「オブジェクトワ
ークス※1」の認証・セキュリティ基盤製品である「オブジェクトワークス/OSM Ad-
vanced Edition」を機能拡張し、MicrosoftR Internet Explorerのツールバーを提供。
ツールバーは利用者のパソコン上で、接続したWebサイトの信頼度を分かりやすく
通知します。この機能では、正規のWebサイトへアクセスしていることを利用者に認
識しやすくするため、万一、偽のWebサイトへ誘導されてしまったときにもそのことに
気付きやすくなる効果が見込めます。また信頼度表示のためにサーバで管理する
サイトレーティング※2情報は、NRIセキュアの提供するセキュリティ・アセスメントに
よる安全性評価結果などを元にして更新します。そしてこの情報は日本ベリサイン
が発行する証明書で署名することで、改ざんされた情報が利用されることを防いで
います。
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
日本コモド
5月10日
日本コモド、フィッシング対策のWebセキュリティ強化ツール
[Enterprise CVCソリューション]の開発に着手
日本コモド株式会社(代表取締役社長:秋山卓司、本社:東京都中央区、以下 日
本コモド)は10日、金融機関やEコマースサイトにおいて深刻な問題となっている
フィッシング詐欺対策ツールとして、PKI(公開鍵暗号方式)ベースの「Enterprise
CVC ソリューション」の開発に着手いたしました。今後、日本市場向けにローカラ
イズを進め、7月を目処に商品化を目指します。
「Enterprise CVCソリューション」は企業ブランドロゴと掲載サイトを特定し関連づけ
て、信頼できる ウェブサイトである事を証明するフィッシング対策ソリューションです
「Enterprise CVCソリュー ション」を導入する事により、ユーザーをフィッシング詐欺
等の被害から保護する事が可能です。
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
確かにSSL サーバ証明書だけでは、フィッシング詐欺は防げませんからね、
画期的なソリューションだと思います。
両方共にアプリケーションをブラウザーに入れ込んで、webサイトの真偽を確かめる
ものらしいです。
日本コモド、携帯端末全機種に対するSSL実機検証およびアクセスシェア調査を実施
------------------------------------------------------------------
日本コモド
、携帯端末全機種に対するSSL実機検証および
アクセスシェア調査を実施
日本コモド
は、同社のSSLサーバ証明書「Enterprise SSL」の携帯端末全
機種に対するSSL通信実機接続検証を実施し、その実機検証の結果並びに
リクロスより提供された機種別アクセス統計値から、3月末時点での「En
terprise SSL」の携帯端末適合率が全アクセスシェア比94.3%以上である
ことを発表しました。また携帯端末以外でも、Opera搭載のWillcom社製P
HS端末「AH-K3001V」の適合が確認されました。
日本コモド株式会社(代表取締役社長:秋山卓司、本社:東京都中央区、
以下 日本コモド)は27日、携帯端末全機種(NTTドコモ、Vodafone、au
(KDDI)、TU-KA)に対するSSL通信状況およびアクセスシェアをリクロス株
式会社(代表取締役社長:奥田哲也、本 社:東京都新宿区、以下 リク
ロス)協力のもと調査しました。 日本コモドは、個人情報保護法の施行
に伴い、オンラインショッピングや各種キャンペーンへの申込等、携帯端
末においてもSSL通信の必要性が高まっていることを受け、3/30発表のNTT
ドコモ製SSL対応携帯端末実機接続検証に続き、2005年3月末日までに発売
された全ての国内4社製SSL対応携帯端末の実機接続検証を実施しました。
今回の接続検証においては、モバイル分野で12年のノウハウを持つソリュ
ーションベンダーである、リクロス
の協力を得て、個々の携帯機種のSSL適
合、非適合のみならず、携帯向けコンテンツプロバイダー様にとって一番
の関心があると思われるアクセスシェアによる分析もあわせて実施してお
ります。
リクロス
が持つ200万件以上/月のサンプルから分析された、携帯電話機種
別のアクセスシェア動向によると、日本コモドが発行する『Enterprise
SSL サーバ証明書』の適合率は、SSL非対応機種を含む全携帯アクセスシェ
ア比において94.3%(3月末現在)以上であったことをご報告します。
また今回の実機検証では、Opera搭載のWillcom社製PHS端末「AH-K3001V」
の適合も確認されました。日本コモドは、今後発売される携帯以外のモバイ
ル端末についても、実機による接続検証の実施とその結果の公開を積極的に
進めて参ります。
■関連URL
http://www.comodojapan.com/mobilelist.html
------------------------------------------------------------------
以上原文。
日本コモドが先月のプレスリリース「NTTドコモ社製SSL対応携帯全機種に
対する実機検証を実施」に続いて、携帯端末全機種のSSL実機検証を行った
プレスを発表しました。
僕のところでもそうですが、最近は商用webサイトの構築には必ずといって
よいほど、モバイル用のwebサイトの構築も含まれるようになってきました。
例えば携帯電話でネット通販にアクセスして、個人情報を入力するログ
イン画面には最近SSL通信をしているという文章を見かけませんか?
シェア的にはまだまだですが、これから携帯電話アクセス向けのwebサイト
にもSSLサーバ証明書を当てる事が必須になってくる事でしょう。
上記の関連URLに実際のSSL通信が対応されているリストが載っています。
今のところ、DOCOMOとVodafoneのSSL通信対応携帯は100%対応しているよう
ですね。auは100%と行かなかったらしいですが、SSL非対応機種を含む全携
帯アクセスシェア比において94.3%なので、あまり問題はなさげな感じがし
ますね。
もし、携帯端末で繋がらないというのであれば、それはSSL非対応機種なの
かもしれません。携帯電話でネット通販を楽しみたいのであれば、このリス
トに記載されている、携帯端末に機種変更をしておきましょう。
ちなみに僕の携帯電話はVodafoneのV402SHなのですが、上記のリストになか
ったので日本コモドに問い合わせました。そうすると、個別に調べたい時は
下記のサイトに携帯電話で接続すると、正しく通信が出来れば、テキストが
見れるとの事でした。
https://www.comodojapan.com/ssltest/
VodafoneのV402SHはきちんと表示されました!実は、その後Vodafoneに問い
合わせた所、これはSSL非対応機種だったらしいのですが、中にはSSL非対応
機種と銘打ってもSSL通信できるものがあるそうです。
その理由は企業秘密という事で教えて頂けませんでしたが・・・・・(謎)
日本ベリサイン、社団法人地上デジタル放送推進協会(D-PA)とルート証明書ライセンス契約を締結
日本ベリサイン 、社団法人地上デジタル放送推進協会(D-PA)とルート証明書
ライセンス契約を締結
2005年4月25日(月)日本ベリサインプレスリリース より。
--------------------------------------------------------------------------------------
地上デジタル放送の双方向サービスにSSL暗号化による
セキュアなネットワーク環境を提供
日本ベリサイン株式会社 (本社:東京都中央区、代表取締役社長兼CEO:橋本
晃秀)は、社団法人地上デジタル放送推進協会 (所在地:東京都港区、理事
長:北川 信)とルート証明書提供のライセンス契約を締結したことを発表いたし
ます。この契約により、地上デジタルテレビ放送の双方向サービスにおいてベ
リサインのSSLサーバ証明書が利用でき、SSL暗号化通信による安全な通信が
可能となります。今後の地上デジタルテレビ放送の双方向サービスでは、地上
デジタルテレビ対応受信機に内蔵されているブロードバンド接続機能により、イ
ンターネットを経由して、日本国内の地上デジタルテレビ放送事業者が提供す
る双方向サービスサイトを利用することができるようになります。視聴者は、テ
レビを通じて番組のクイズに答えたり、リクエストを送るなど、自宅に居ながらに
して放送番組に参加することができるようになります。
日本ベリサインは、今回の契約に基づき、地上デジタル放送推進協会の会員
である日本国内の地上デジタルテレビ放送事業者へルート証明書を提供しま
す。地上デジタルテレビ放送の双方向サービスは、ベリサインのSSLサーバ証
明書を利用することで、放送局とエンドユーザとの間の通信にSSL暗号化通信
を利用することができます。SSL暗号化通信を利用することにより、双方向サー
ビスの通信途中での第三者による盗聴や改ざんを防ぎ、エンドユーザが安心
して利用することのできるセキュアなネットワーク環境を構築することが可能と
なります。
--------------------------------------------------------------------------------------
以上、原文のまま。
SSLサーバ証明書、今度は地上デジタルテレビ放送の通信にも使われるので
すか。地上波デジタル放送というのは、一般のアンテナで受信するので、(もち
ろんチューナーが必要ですが)なんだか、意外な感じがします。
とにかく使用するメディアがどうであれ、インターネットを経由するのであれば、
言わずもがな「SSLサーバ証明書」をつけるというのが、これからの常識になっ
ていくのでしょう。今までのテレビ放送は、放送局から視聴者への一方向の通
信でしたが、インターネットを利用する事により、双方向の通信が可能になって、
テレビ放送の可能性が広がった形になります。
しかし。ルート証明書を提供する事で、ますますベリサインの独占状態になりま
すね・・・・・。しばらくすると他のベンダーも入ってくるのかもしれませんが、
そうするとテレビ(もしくはチューナー?)の機種によって、テレビ番組が見られ
る・見られないといったケースが出てくる可能性もあるわけで、他のベンダーさ
んはどう見ているのでしょうか?
地上デジタルテレビ放送だけにとどまらず、これからはどういったメディアを開
拓していくかが、サーバ証明書のベンダーの生き残りにかかってくるのかもし
れませんね。
僕の考えた、SSL サーバ証明書の二大定義
SSL サーバ証明書に興味を持つようになって、
サーバ証明書について調べたり、
日本国内のサーバ証明書のベンダーのウェブサイトを見たりなどして、
「SSL サーバ証明書とはなんぞや?」というのを僕なりに考えているのですが、
僕の考えとして、SSL サーバ証明書というのは、「実在証明」と「暗号化通信」の2点が、
SSL サーバ証明書の大事な役どころであり、このどちらも欠けてもいけないと思っています。
特に商業用の場合は必然です。
ビジネスで例えると、「名刺交換して取引が始まる」部分がSSLサーバ証明書の役割なのかな。
SSLサーバ証明書には、暗号化通信のみしかできないものもあります。
openSSLというのがその類なのですが、
これはたいていがフリーウエアかかなりの安価なもので
誰でも個人でも使えるものです・・・・・が、
今話題のフィッシング詐欺を一切ふせぐ事ができない。
かえって、これを利用するフィッシングサイトも増える可能性があると思います。
要するに「暗号化通信=安全な通信」と捉えられがちですが、
これだけじゃダメって事。
SSL通信だから大丈夫。と思っても、
その通信のウェブサイトが悪意の第三者のフィッシングサイトだったら、
どうしますか?巧みに作られた偽サイトで、どうやってそれを確認しますか?
ね?SSL通信だからって、安心していたら怖いんです。
去年の大手ポータルサイトのフィッシングサイトのように本当に巧みなものだったら、
気づかないと思います。
それにopenSSLであれ「当サイトはSSL暗号化通信を実現しています。」とあったら、
確実に本物だと信じちゃいます。
特に僕のような知ったかぶり君は(苦笑)
それを防ぐためにサイトの「実在証明」が必要になってくるわけです。
このSSL通信を張っているのはどこの誰なのか、提示する必要が出てくるんですね。
「このサイトは安全ですよ、保障します。だから、安心してくださいね。」という事を
相手に教えなければならない。
さっきの「名刺交換して取引が始まる」ではないですが、
ビジネスで初めてあった人と名刺交換して、身分を確認するようなものですね。
どこの人か分からないのに、さぁ取引しましょう!と言われても取引できますか?
某ベンダーさんでは実在証明がつかないSSL サーバ証明書を発行していますが、
反対にフィッシングサイトで悪用される可能性が出てくるのではないのかなと
素人なりに、実は心配です。
インターネット上で情報入力する際は、必ず「SSL サーバ証明書」を確認して、
さらにそのSSL サーバ証明書が誰のものなのか、しっかり確認する事にしましょう。
枝はどこについているか分からないのです。
2005.4.1 日本ジオトラストのSSLサーバ証明書がauの携帯電話に対応
2005年4月1日
GMOのグループ企業で公開暗号鍵技術を使用したインターネットセキュリティと
個人や企業・組織の認証サービス事業を担う日本ジオトラスト株式会社(本社:
東京都渋谷区 資本金:2億円 代表取締役社長:中条 一郎 URL:http://www.geotrust.co.jp/
以下、日本ジオトラスト)のSSLサーバ証明書がauの携帯電話
に対応いたしました。
携帯電話を利用したオンライントランザクションでショッピングや各種申込みな
どを行う際、SSLによるセキュア通信が必須となってまいりました。またオンライ
ンバンキングやオンライントレードなどの通信では128bitのSSL通信によるセキュ
リティが不可欠です。日本ジオトラストは、このSSL通信に必要となるSSLサーバ
証明書をサービス提供しており、その証明書が対応したルート証明書がau携帯電
話に搭載されました。これによりau携帯電話において、日本ジオトラストのSSLサ
ーバ証明書を用いたSSL通信の利用が可能となります。
日本ジオトラストでは、随時、携帯電話を含めたPC以外のプラットフォームにも
広くルート証明書を提供し、ウェブ通信におけるセキュアなインフラの推進に貢献
してまいります。
※機種の対応状況については、下記ウェブサイトにてご確認ください。
URL:http://www.geotrust.co.jp/
---------------------------------------------------------------------------
以上原文のまま。
3月30日に日本コモドがNTTドコモのSSL通信対応端末に100%対応しているとの
プレスがでましたが、ジオトラストも1月のプレスに続いて携帯端末の対応情報を
発表しましたね。
・・・・・ただ、auのどの機種が対応しているのかが分からない。残念!
>機種の対応状況については、下記ウェブサイトにてご確認ください。
>URL:http://www.geotrust.co.jp/
トップページ見たんですけど、どこにその情報があるのか分からなかった。
普段はわかりやすいウェブサイトなのに、見当たりませんでした。
まだ、サイトに上げていないんでしょうか?
コモドの対応機種名を公表していたのをみなけりゃ、そうそう気づかない事だったの
かもしれませんが、auのどの機種がジオトラストのサーバ証明書に対応しているのか、
非常に気になります。
SSL の比較
様々な会社がSSLサーバ証明書を発行していますが、やはり老舗と言える、Verisign、日本では大きなシェアを持っています。ただこのシェアも他社の参入により少しずつではありますが、減ってきているのが現状です。
ssl を販売しているその他の会社のひとつ、(Enterprise SSL サーバ証明書)日本コモド社にシェアの推移が掲載されています。
これを見ると、老舗のVerisign/Thawteシェアが毎年減少しているのに比べ、他社のシェアが拡大している事がわかります。
[業界初] 日本コモド、NTTドコモ社製 SSL 対応携帯全機種に対する実機検証を実施
2005年03月30日(木)14:00
〔業界初]日本コモド、NTTドコモ社製SSL対応携帯全機種に対する実機検証を実施
日本コモド株式会社(代表取締役社長:秋山卓司、本社:東京都中央区)は30日、株式会社NTTドコモ製SSL対応携帯端末全機種に対する実機接続検証結果を業界で初めて公開しました。
2005年4月からの個人情報保護法の施行に伴い、オンラインショッピングや各種キャンペーンへの申込み等、今後携帯端末においてもSSL通信の必要性がますます高まるものと予想されます。このような市場のニーズに対応し、より安心かつ安全な携帯接続環境を確実にご提供するため、日本コモドでは携帯によるSSL通信の可否を実機検証いたしました。
今回の実機検証の結果、日本コモドが発行するEnterpriseSSLサーバ証明書は、2005年3月11日までに発売された株式会社NTTドコモ製携帯端末、MOVA及びFOMAの全機種に対応していることが確認されましたことをご報告いたします。
対応機種の詳細につきましては、日本コモドのWEBサイトをご参照下さい。
日本コモドでは、今後も随時各社携帯端末の実機検証を実施し、定期的に検証結果をユーザの皆様にご報告する方針です。
■関連URL
http://www.comodojapan.com/mobilelist.html
■報道関係の方のお問合せ先
日本コモド株式会社 セールス係
E-mail: sales@comodojapan.com
電話番号:0120-979-717
■日本コモド株式会社概要
http://www.comodojapan.com/
主な事業所:東京都中央区京橋2-7-14 BUREX京橋7F
電話番号:03-5524-6211
設立:2004年2月4日
資本金:35百万円(2005年3月現在)
代表者:代表取締役社長 秋山卓司
事業内容:SSLサーバ証明書発行サービス
企業用認証局ASPサービス
ネットワークセキュリティシステムの構築
ネットワークセキュリティ関連サービスの提供及びコンサルティング
ネットワークセキュリティ関連製品の販売、サポート
関連会社:英国コモド本社 http://www.comodogroup.com/
関連URL:http://www.comodojapan.com/mobilelist.html
--------------------------------------------------------------------------
携帯端末もSSLでの通信が出来るんですよね。
SSLというとパソコン間での通信のみで使用という印象が僕自身あったのですが、
思えば携帯端末でのメール送信や情報入力の方が、パソコンよりも多いかもしれません。(メール送信自体はSSLないですけど)
SSL通信に対応していない機種だったら、携帯サイトでの買い物や会員登録も不安になります。ちなみに僕のはちゃんと対応されているものでした。
そういう意味では、今回の日本コモドのプレスリリースというのは、
SSL通信を利用する立場の人を真剣に考えてくれているのかなと
思ったりします。
業界初との事でしたが、どうして他のサーバ証明書を発行している企業は、
検証していなかったんでしょうか。
素朴な疑問です。
ssl サーバ証明書 の目的について
ただ本当にデータの暗号化のみを行なうだけで、安全ではありません。
SSL の使用目的として現在主に使われている(思われているのは)データの暗号化ですが、本来の目的は、サイトの実在性、正当性をアピールするのが大切な目的だと言う事を忘れてはなりません。
サイトの実在性とは、SSLサーバ証明書を取得する際、必要書類を第三者(SSLサーバ証明書発行者)に提出します。必要書類には、ドメイン名使用許諾書(証明書発行対象の組織がドメン名を所有していない場合必要な書類です)、印鑑証明書、資格証明書等が含まれます。また証明書を発行する際に申請者に対してコールバック(実在確認)を行い、本当にSSLサーバ証明書の申請者が実在し正当なビジネスやその他活動を行なっているか確認を行ないます。
そもそもSSLサーバ証明書、データ暗号化に関しては、暗号化強度、対応ブラウザ、携帯電話対応率等は提供しているルートCAによって若干は変わりますが、データの暗号化と安全性を考えるとさほど大きくは変わりません。
大きく違うのは、第三者認証サービスによってサイトの実在証明を行なっているかの違いがあります。今後、なりすまし詐欺やフィッシング詐欺の横行により、SSLサーバ証明書の第三者認証サービスが重要になってくる事は確実です。現段階では各インターネットユーザーのSSLに対する認識や個人情報に対する考えが非常に低いレベルですが、今後詐欺被害等の増加により高まってくると思われます。その場合SSLサーバ証明書の真の意味(第三者認証サービス)が重要となります。
実在証明を行なっていない、SSLでのデータ暗号化部分のみ提供しているSSLベンダーは例えば
※Triton,Inc SSL http://www.trustlogo.co.jp/
※http://www.freessl.com/
等が含まれます。
第三者認証サービスによって実在証明を提供しているSSLベンダーは例えば
※ベリサイン http://www.verisign.co.jp/
※セコム http://www.secomtrust.net/
※日本コモド http://www.comodojapan.com/
等が含まれます。
上記三者認証サービスによって実在証明を提供しているSSLベンダーですが、比較表がありますので、こちらをご覧ください。
上記4社では、競合比較表で表記されている通り、機能的には略互角です。後はコストですが、こちらは断然 日本コモド が優位である事がわかります。現段階ではSSLサーバ証明書の市場では老舗と言えるVerisignが大きなシェアを取ってきましたが、今後は値段やサービスの事を考えると他社(日本コモド社等)が伸びてくる事が考えられます。
SSLサーバ証明書の業界では現在機能サービスは略互角、後は各社の認知度・SSLサーバ証明書の価格やサポートの違いで選んでいく事が必要です。
本当に信頼できるSSLサーバ証明書は?
Phishing対策としてのSSLを導入する際は認証されているものを選ばないと、意味がありません。SSLとはそもそも、暗号化通信だけではなく、しっかりとした第三者が認証を行なうことにより、真の安全性を提供できます。現在Phishingの被害が増えている中、サーバ証明書を選ぶ際は、是非とも念頭に置いて考えなければなりません。
SSL サーバ証明書についてはこちらをご参照ください。