読者です 読者をやめる 読者になる 読者になる

NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

自民党滋賀県連のSSLサーバ証明書問題 〜業者の技術力低下が進んでいないか?〜 (1)

情報セキュリティ ベンダ

 こんばんは。選挙特番を見ていたせいで書くのが遅くなりました。佐賀県教育委員会の情報漏洩については、佐賀新聞に以下のような記事がありました。

警視庁、不正アクセス事件で県教委に回答|佐賀新聞LiVE

 「個人情報の拡散が確認されていないのはよかった。今後も協力を得ていきたい」という県教委のコメントが記載されていました。あくまで「今のところは」確認されていないだけであって、安心するのはまだ早いのではないかという印象です。まだ調べて居る最中でもあるので、これから何か出て来ないとも限りません。何か早く幕引きしたいんじゃないかと考えていそうにも取れました。「今後も協力を得ていきたい」というあたりは上から目線な印象が拭えません。佐賀県教育委員会の動きについては、引き続きウォッチして行く予定です。

 ここでお話は変わります。タイトルにもありますように、自民党滋賀県支部連合会のSSLサーバ証明書の不備が問題として取り上げられていました。この問題については、@ktgohan さんがツイートされていました。3ヶ月以上再三指摘していたのに全くそのままだったということを指摘されていました。

 この件について、黒翼猫さんのブログでまとめておられます。

blog.livedoor.jp

 自民党滋賀県連のSSLサーバ証明書が本来www.jimin-shiga.jpを使わないといけないところが、hi-harlem.comの証明書を使っているということのようです。これでは全く証明になってませんよね。SSLで通信することの意味は、通信経路の暗号化以外に正当なサーバであることを証明することでもあります。これは明らかにISP側の問題ですね。

 確かにhttps://www.jimin-shiga.jp/ でアクセスすると、「hi-harlem.comの証明書を使っているので無効です。」とのメッセージが出てきます。

 通常の httpであれば、Apacheの機能であるVirtualHost機能を使ってやって同じIPアドレスでもFQDNの違いで別ホストとして動かすことが出来ます。httpsの場合はそうは行かないのでそっち系のミスかなと思ったら、IPアドレスが異なるのでこれは違いますね。(^^;; 

 単に他の顧客が使用しているSSLサーバ証明書を使い回しているとしたら、セキュリティ面的根幹が崩れてしまいますよね。他の方がおっしゃっていたように秘密鍵まで共有してしまうことになるので、これはたいへん拙いです。単なるミスであれば至急対応してほしいものです。利用者が迷惑被る話ですし。

 もう一つの問題は、この問題を@ktgohan さんが再三自民党滋賀県連や党本部にまで連絡を入れたにもかかわらず、全く改善されなかったそうです。SSL対応webサーバを借りている側にも技術的問題を理解出来て(ISPへの)取次が出来る人が必要ですよね。「この人何を言ってるんだろう?別に普通に使えているからまぁいいか。」と思われていそうです。「クレーマーだな。この人…」とか思われていたら悲しいですよね。

 これだけ言い続けても改善されずに事故が起きた場合のことを考えると…。こういう事故が起きてしまったら、連絡を受けていた組織の方も非難されてしまいます。そういう意味では情報系職員・社員を組織には数名配置しておく必要があろうかと思います。