IT技術解説blog

ドメインについて

信用できるドメインとは

お客様からメールの内容についてご質問が届きました。

お客様にとあるサイトからメールが届き、正当なサイトなのか?あるいはフィッシングサイトなのか判断出来ないので見てほしいとの事。

続きを読む

勘違いのインターネット4

メールフォームをEV認証以外で暗号化する必要性

前回説明した暗号化と認証がセットになることで初めて正当な暗号として機能する事はご理解頂けたでしょうか?

また、認証にはグレードがありドメインの実在確認を行う認証と、企業の実在確認を含めた企業認証。さらに運営まで確認したより高位のEV認証があることをご理解頂けたと思います。

  ドメイン確認 法的な存在確認 実際の運営確認 ドメイン所有確認※1
ドメイン認証
企業認証
EV認証

※1:企業が証明書に記載されるドメインの所有者であることを確認します。

ドメイン実在だけの認証やペーパーカンパニーでも通る認証は意味がないのでは?

ここまで読みますと認証や暗号化の必要性をあまり感じませんが、利用者にもサイト運営者に対しても利点があります。

利用者側のメリットは公共無線LANなどの信頼できないネットワークでも自身の端末からならば安心して送信することができます。

サイト運営側のメリットは暗号化通信はデータの改ざんがないことを保証できますから例えば利用者が注文を勘違いし間違えて発注し後に返品が発生した場合でも責任の所在を明確にできます。(暗号化していない場合、送信したユーザーから途中で改ざんされたのでは?と言われたらサイト運営側は反論できません。)

ですからユーザーとの通信をサイト運営者側が用意するのなら暗号化通信を選択するのがお互いの信頼の第一歩と考えます。

また、サイト運営者は利用者の個人情報を細心の注意をもって慎重に扱いましょう。これらの個人情報はサイトを利用・購入して頂いた最重要顧客のリストです。顧客データの流出は最重要顧客への信頼を失墜し最悪企業存続すら危ぶまれるほどの重要なデータであって電話帳ではありません。

勘違いのインターネット3

勘違いの暗号化通信

善意によって成り立ったインターネットはお分かりいただけたでしょうか?根底は性善説から発展した構造ですので悪用や盗用防止策として暗号化と認証が提唱されました。それをSSL(Secure Sockets Layer)と呼びます。

暗号化の意味はわかりやすいのですが認証とはなんでしょうか?

1.認証とは?

例えると、ある軍隊に暗号電文が届いたとします。「味方より:○時○分に突撃せよ!」と。この暗号が完全に解読されていて敵が書いた暗号電文だったら一大事です。本当にこの暗号は味方から送信されたのでしょうか?味方より:と書いてはありますが・・・

本当の戦争ではこの暗号の中に味方しか知らない合言葉を含めたりしますが、インターネットでは公平な審判に判断してもらいます。この審判が認めた暗号通信を認証といいます。

ですから暗号化と認証がセットになることで初めて正当な暗号となります。

自分で自分を認証して暗号化するいわゆるオレオレ認証もできますが一般的なブラウザでは警告文を発しますからオレオレ認証は無意味でしょう。

SSLサンプル

  1. 第三者認証による正当なページサンプル
  2. 不正な認証による(ドメイン偽装)ページサンプル(イシノテックのコンテンツですからご安心ください)

補足しますと1.と2.は同じファイルです。ところが1.のドメインはwww.ishinotec.comなのに対し2.はsub.ishinotec.comです。弊社は認証局にwww.ishinotec.comを申請しておりsubから始まるドメインでは認証されず警告を発したわけです。

正当なページ

article00016

不正なページ

article00017

なお暗号化通信(SSL)では通信プロトコルがhttpではなくhttpsとなります。個人情報を送信するようなページはhttpsから始まるURLか確認しましょう。などと聞いたことがある方も多いでしょう。

2.認証にはグレードがありグレードにより信用度は大きく異なる

ところが、この認証には大きく分けて3つのグレードがありドメインと管理者が存在すれば許可されるドメイン認証、企業の法的な存在確認が含まれる企業認証。企業の運営形態まで確認するより高位なEV認証があり、最低ドメインさえ存在すれば詐欺的なサイトでも許可が下りる可能性が残りますしペーパーカンパニーであっても企業認証の取得が可能です。ですからhttpsだから安心という物ではありません。

  ドメイン確認 法的な存在確認 実際の運営確認 ドメイン所有確認※1
ドメイン認証
企業認証
EV認証

※1:企業が証明書に記載されるドメインの所有者であることを確認します。

ですから運営まで確認するEV認証以外はhttpsから始まるURLでかつ信用おけるドメインかをユーザーが判断することが大切になります。

3.全ての通信を暗号化しているのではありません

以下はよく見かけるお問い合わせなどに使うメールフォームを図式化したもので入力した内容を送信後自動で返信メールが帰ってくるタイプです。「暗号化通信を行っていますので安心して利用ください」と記載があったりします。

article00015

鍵マークが暗号化の意味で自動返信メールには暗号化の鍵マークがありません。これは返信メールは平文で帰ってくるという意味です。普段利用している電子メールも平文ですからメールを利用している方ならばあまり心配することはありませんが、万一メールフォームの入力欄にカード番号やパスワードが含まれているような場合は注意が必要です。そのサイト運営者が自動返信メールでパスワードや暗証番号を返さないと誰が保証できるでしょうか?

幸いにも過去登録したサービスでパスワードを自動返信してきたサイトに遭遇したことはありませんがWEB制作は特別なライセンスも不要で誰でも制作できますから中には入力内容を丸ごと返信するようなメールフォームが無いとは言いきれません。

なお、返信メールを暗号化すれば問題ないのでは?とお思いでしょうが暗号は受け取る側が費用を支払います。ですからユーザーが暗号化通信を(通常のメールの費用とは別に)支払って頂かない限りサイト制作者は暗号化して送信できないのです。

article00018

またサーバーが自社になく外部にある場合は集計したデータをダウンロードする際に暗号化されていなければここでも平文での通信が発生します。サイト運営者がコストを掛けて暗号化しているかをユーザーは判断できません。

ですから悪意のあるなしに限らず一定のスキルがあると判断できるサイトや社会的に信用のある企業が運営をされているサイトに限り利用することをお勧めします。

4.メールフォームをEV認証以外で暗号化する必要性ってなんなの?

ドメインが存在すればゆるい条件でSSL証明書を発行するし、せっかくメールフォームを暗号化しても返信メールは暗号化されてないし高い料金を支払って暗号化(SSL)を導入する必要があるのか?というお話はまた次回に続きます。

勘違いのインターネット2

勘違いの暗号化通信

前回の勘違いのインターネットをふまえてインターネット系技術は階層構造になっていることは理解頂けたでしょうか?

article0003

よく暗号化の説明図で上のイラストのようなものを見かけます。イラストの簡略化の為かスペースの都合なのかこれではお隣の家のPCを経由してメールの送受信をしているように見えてしまいます。

インターネット(メールも含む)は基本伝言ゲームで伝わることは間違いありませんが伝わる方向はより上位に進み上位から下りてきて通信します。

article00014

先ほどのDが覗き見したイラストをこの図に当てはめると世界的にも著名な大企業が覗き見した事になってしまいます。当然より正確な概念図にあるDはデータを経由してませんのでそもそも盗み見ができません。

ですから現実的に個人の情報を盗み見られる可能性が高いのはもっと下位、社内LANやマンションの共用LAN、漫画喫茶、ホテルや旅館、店舗内の無料Wi-Fiアクセスポイントなど)信頼が置けない場所での個人的な通信は覗かれたり改ざんされる恐れがあります。

インターネットは元々大学や学会などの論文引用や検索、研究目的など学術的な分野での利便性を考慮した善意の上に成立したシステムですので悪用を想定したものではないのです。その後90年代中期から商業サイトが増加し電子商取引も含めた安全性と暗号化に配慮したシステムが提唱されてきました。それが暗号化と認証システムです。

a_1208-1

上のようなお問い合わせ用のフォームを良く見かけますがそのSSL暗号化通信とは本当に安心なのでしょうか?

やっと暗号化通信の本題となるわけですがこれもまた勘違いされている方が多いので次回はその辺のお話を詳しく。

勘違いのインターネット

勘違いのインターネット

今更ながらのインターネット概念図です。さてどの図が概念として最も正解に近いでしょうか?article0001

WWWとはワールドワイドウェブの略です。元々核戦争で重要拠点が破壊されても指揮能力を喪失しない分散処理システムとしてインターネットが誕生したといわれてます。またインターネットは自由で公平な世界です。

などと書きますと「A」や「C」を正解と考える方が多いのですが実は正解は「B」で完全な階層構造になっています。また核戦争のくだりも俗説で元々大学や学会などの論文引用や検索、研究目的など学術的な分野での利便性を考慮した善意の上に成立したシステムです。そのため最初期には論文が多々存在しました。

現在のインターネットでは接続には必ずISPを経由しますがこのISPが更に上位のISPに接続しまたその上位と接続しながら最終的に相手方のPCやサーバーと接続します。

上位になればなるほどトラフィックが増え世界的にも社会的にも著名で自前で海底ケーブルを施設できるほどの企業に辿り着きます。この最上位プロバイダはTier1と呼ばれ世界で10社ほどが相互通信しています。

したがって「隣のご主人メールサーバー設置したらしいわよ」「それは大変!盗聴されないかしら?」となっても隣のご主人がメールを盗み見することはできませんのでご安心ください。

この場合盗み見できるのはより上位にあるLANやサーバーに限られます。また上位になればなるほど社会的にも責任ある通信会社ですし企業コンプライアンス的にも、日々膨大なトラフィックの上に流れる一個人のデータを盗み見することはないでしょう。

下図を例とするとAからZまでの経路はマンションの共有LANを通り地元->中位->上位->最上位のプロバイダからプロバイダ->本社サーバー->営業所のサーバー->社内LANへと経由しZに到達します。

article0002

Aの情報をBやEが盗み見することは出来ませんがAの情報をマンションの共有LANから盗み見することは理論上可能です。この共有LANの設置場所に誰でも入れたり管理者が信用できないと困ったことになります。

他にもホテル、漫画喫茶、公衆無線LAN、はたまたなぜかつながる野良無線などなど安易な通信は予期できない結果が待っています。

これら概念図をふまえて次回は暗号化通信についてご説明します。

IT技術解説概要

このコンテンツは主にインターネットに関する技術的な覚書もしくはこれから企業向けwebサイトを制作される方もしくは企業担当者様への情報発信ブログです。(不定期更新)

インターネット系技術は進化が早くすぐに陳腐化するためこのコンテンツ内は更新日付と最終更新日を元に内容の是非をご判断ください。

また、このブログは最新の記事が最上部に表示されます。古いものから順番に読みたい場合はご注意ください。

contact us連絡先

to_top