技術者でなくても分かる電子証明書と PKI 入門 - DigiCert · 2019. 10. 17. ·...
Transcript of 技術者でなくても分かる電子証明書と PKI 入門 - DigiCert · 2019. 10. 17. ·...
![Page 1: 技術者でなくても分かる電子証明書と PKI 入門 - DigiCert · 2019. 10. 17. · 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を](https://reader036.fdocument.pub/reader036/viewer/2022062507/5fe2876c00bc43281f56fda5/html5/thumbnails/1.jpg)
WH
ITE PA
PER
:
powered by Symantec
White Paper
技術者でなくても分かる電子証明書と PKI 入門(基礎編)
![Page 2: 技術者でなくても分かる電子証明書と PKI 入門 - DigiCert · 2019. 10. 17. · 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を](https://reader036.fdocument.pub/reader036/viewer/2022062507/5fe2876c00bc43281f56fda5/html5/thumbnails/2.jpg)
White Paper : 技術者でなくても分かる電子証明書と PKI 入門(基礎編)
2
Copyright ©2014 Symantec Corporation. All rights reserved. Symantec と Symantec ロ ゴ は、Symantec Corporation または関連会社の米国およびその他の国における登録商標です。その他の会社名、製品名は各社の登録商標または商標です。
合同会社シマンテック・ウェブサイトセキュリティは、本書の情報の正確さと完全性を保つべく努力を行っています。ただし、合同会社シマンテック・ウェブサイトセキュリティは本書に含まれる情報に関して、(明示、黙示、または法律によるものを問わず)いかなる種類の保証も行いません。合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれる誤り、省略、または記述によって引き起こされたいかなる(直接または間接の)損失または損害についても責任を負わないものとします。さらに、合同会社シマンテック・ウェブサイトセキュリティは、本書に記述されている製品またはサービスの適用または使用から生じたいかなる責任も負わず、特に本書に記述されている製品またはサービスが既存または将来の知的所有権を侵害しないという保証を否認します。本書は、本書の読者に対し、本書の内容に従って作成された機器または製品の作成、使用、または販売を行うライセンスを与えるものではありません。最後に、本書に記述されているすべての知的所有権に関連するすべての権利と特権は、特許、商標、またはサービス ・ マークの所有者に属するものであり、それ以外の者は、特許、商標、またはサービス ・ マークの所有者による明示的な許可、承認、またはライセンスなしにはそのような権利を行使することができません。
合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を持ちます。
![Page 3: 技術者でなくても分かる電子証明書と PKI 入門 - DigiCert · 2019. 10. 17. · 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を](https://reader036.fdocument.pub/reader036/viewer/2022062507/5fe2876c00bc43281f56fda5/html5/thumbnails/3.jpg)
White Paper : 技術者でなくても分かる電子証明書と PKI 入門(基礎編)
3
CONTENTS
第1話:インターネットでの通信を無条件に信用していませんか? 4
なりすまし 4
改ざん 5
事後否認 5
盗聴 6
第2話 : 本人確認は ID+パスワードだけで安心か? 7ハッカーは IDやパスワードを狙っている! 7
インターネットの世界にも本人確認ができる証明書がある 8
電子証明書の例 9
第3話:フィッシング詐欺への対策はできていますか? 10
フィッシング詐欺の手口とは? 10
ニセのウェブサイトかどうかは「電子証明書」でチェック! 11
「電子署名」があれば怪しいメールを見分けられる! 12
利用者への啓発でフィッシング詐欺の被害を防止しよう! 12
第4話:電子証明書はどんなものなのか? 13
なぜ電子証明書は第三者によって偽造されにくいのか? 13
発行者と発行先がわかれば、信頼できるか判断できる! 14
信頼できる認証局ってどこ? 14
第5話:電子証明書はどのように使われるの? 15
電子証明書の実例1 15
電子証明書の実例2 15
電子証明書の実例3 16
![Page 4: 技術者でなくても分かる電子証明書と PKI 入門 - DigiCert · 2019. 10. 17. · 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を](https://reader036.fdocument.pub/reader036/viewer/2022062507/5fe2876c00bc43281f56fda5/html5/thumbnails/4.jpg)
White Paper : 技術者でなくても分かる電子証明書と PKI 入門(基礎編)
4
第1話:インターネットでの通信を無条件に信用していませんか?
インターネットの利用は、この 10 年ほどで爆発的に増加しました。
今や企業では電子メールや LAN、ウェブブラウザなどがなかったら、まったく仕事にならない、というところがほとんどでしょう。オンラインショッピングのような商品の売買から、製造業での資材調達、社員研修などもインターネットを介して行われることが普通になりました。
しかし、インターネットの普及にともなって、インターネットにかかわる犯罪やトラブルも非常に増えてきました。
インターネットには危険がいっぱい・・・
「たしかに最近、個人情報の漏えいや不正アクセスなどがよくニュースに取り上げられているね。なんでこんなことが起きてしまうんだろうか?トラブルを未然に防ぐためには何ができるのだろうか・・・」
では、どのような原因によって問題が起きるのか考えてみましょう。
なりすましその通信相手はたしかに「本物」なのか?
インターネットの特徴として、情報をやりとりする相手が「本人なのか」を確かめるのが非常に難しいことが挙げられます。たとえば、インターネットで個人を特定する方法には、ユーザー ID やパスワード、メールアドレスなどがあります。
これらは電子データですので、元とまったく同じコピーが簡単に作れます。このため、ユーザー ID やパスワード、メールアドレスなどが悪意のあるハッカーに入手されてしまうと、本来の持ち主のふりをして情報をやりとりできてしまうのです。
「インターネットの世界では、ニセモノが本物になりすますことは簡単なのか・・・。このことが、インターネットで起きる犯罪やトラブルの原因になっているみたいだな。」
不正に利益を得るために、他人のふりをすることを「なりすまし」といいます。
最近「なりすまし」の事案として問題となっているのが「フィッシング詐欺」です。これは、有名な銀行やショッピングサイトなどを装った電子メールや、本物そっくりに作ったホームページを使って、個人情報やクレジットカード番号などを入手しようとするものです。
フィッシング詐欺は、情報の送信者が「本物」であることを確かめるのが難しい、インターネットの弱点を悪用した不正行為です。
![Page 5: 技術者でなくても分かる電子証明書と PKI 入門 - DigiCert · 2019. 10. 17. · 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を](https://reader036.fdocument.pub/reader036/viewer/2022062507/5fe2876c00bc43281f56fda5/html5/thumbnails/5.jpg)
White Paper : 技術者でなくても分かる電子証明書と PKI 入門(基礎編)
5
改ざん書き換えられたメールを受け取っていませんか?
インターネットで本物とニセモノを区別しにくいのは、情報をやりとりする相手だけではありません。
たとえば、ある人がオンラインショップあてに、商品の発送を依頼する電子メールを送る場合を考えてみましょう。ハッカーがこの電子メールを途中で横取りし、商品の発送先をハッカーあてに書き換えたメールをオンラインショップに送ったらどうなるでしょうか?
「おそらく、オンラインショップの担当者は、ハッカーに商品を送ってしまうだろうな。電子メールが書き換えられているかどうかなんて、担当者は判断できないからね。」
このように、作成した本人以外の第三者によって電子データが勝手に書き換えられてしまうことを「改ざん」とよびます。改ざんは、インターネット上で情報を受け取ったときに、その情報が途中で変更されていることを発見するのが難しいことを悪用した手口です。
私宛に商品を送って下さい。
Aさんに商品を送るぞ!
Aさん オンラインショップ
オンラインショップ
私宛に商品を送って下さい。
Xさんに商品を送るぞ!
Aさん
ハッカーX
改ざん
Xさん宛に商品を送って下さい。
事後否認「言った」、「言わない」はインターネットにもある?
電子データは改ざんすることが容易であることに加え、削除してしまうと痕跡がまったく残らないという特徴があります。このことを悪用した手口に「事後否認」があります。
ここでは、機械製造メーカーと部品メーカーのやりとりを例に説明します。事後否認とは、次のようなケースです。
1. 機械製造メーカーは部品メーカーに仕様書を送り、部品の製造を発注する。
2. 部品メーカーは仕様書通りに部品を製造して、機械製造メーカーに納品する。
3. 納品後、機械製造メーカーは納品物が仕様書通りではないと主張する。
機械製造メーカーは、誤った仕様書を送ったのかもしれません。しかし、電子データは改ざんや削除が簡単に行えてしまいますので、機械製造メーカーは、「その仕様書は何者かによって改ざんされたものだ」とか「そんな仕様書は見たことがない」などと言い張ることができてしまいます。
このように、当事者のどちらかが、情報をやりとりした事実を否定したり、情報の内容が改ざんされていると主張したりすることが「事後否認」です。今のケースだと、機械製造メーカーが事後否認をしていることになります。
を直径50mmで 了解しました!大至急製造して下さい。
直径は30mmじゃないとダメですよ。仕様書通りじゃないから作り直し!
仕様書仕様書
機械製造メーカー
機械製造メーカー
部品メーカー
50mmって言ったのに…
部品メーカー
納品後
![Page 6: 技術者でなくても分かる電子証明書と PKI 入門 - DigiCert · 2019. 10. 17. · 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を](https://reader036.fdocument.pub/reader036/viewer/2022062507/5fe2876c00bc43281f56fda5/html5/thumbnails/6.jpg)
White Paper : 技術者でなくても分かる電子証明書と PKI 入門(基礎編)
6
盗聴
あなたがやりとりしているメールやファイルは 盗み見られている?
「本物とニセモノを見分けるのが難しい」ということのほかに、インターネットでトラブルが起こる原因はまだあります。それは、インターネットでやりとりされる情報は、第三者に見られる可能性があるということです。
「それはどういうことだろう? たとえば、お客様宛に送った電子メールが第三者に読まれてしまうなんてことがあるのだろうか?」
インターネットで情報をやりとりすることは、現実の世界では「ハガキで連絡をとりあうこと」に似ています。ハガキはとても手軽で安価に手紙を相手に送ることができる通信手段です。しかし、ハガキは見ようと思えば、書いてある住所や氏名だけでなく、伝えたい情報の内容まで読むことが誰でもできます。ハガキは、書いた人と送り先の人だけではなく、各拠点の配達担当者や郵便局の仕分け担当者など、非常に多くの人の目に触れる可能性があります。
インターネットもこれによく似ています。電子メールやウェブブラウザなどを使って通信される情報は、多くのサーバーを経由したり、様々な通信経路を辿って届けられます。実は、ある程度の技術をもった人ならば、サーバー上に保管されている情報や通信経路上を流れている情報を誰にも知られずに読み取ることが可能なのです。
この特性を悪用した手口がインターネットで行われる「盗聴」です。現実の世界で行われている盗聴のように音声の会話を傍受するわけではありませんが、本来の通信相手以外の第三者に通信内容を盗み見られてしまう、という点はとてもよく似ています。
「盗聴なんて映画や小説の中だけの話だと思っていたけれど、身近にも起こりうることなんだね。」
インターネットを利用する上では、「通信相手は本当に正しい相手なのか?」、「重要なデータをそのまま送信しても大丈夫なのか?」といったことに気をつけましょう。なりすまし、改ざん、事後否認、盗聴といった手口による不正行為によって、誰でも被害にあう可能性があります。
![Page 7: 技術者でなくても分かる電子証明書と PKI 入門 - DigiCert · 2019. 10. 17. · 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を](https://reader036.fdocument.pub/reader036/viewer/2022062507/5fe2876c00bc43281f56fda5/html5/thumbnails/7.jpg)
White Paper : 技術者でなくても分かる電子証明書と PKI 入門(基礎編)
7
第2話 : 本人確認は ID+パスワードだけで安心か?
たとえば、あなたはインターネットで手軽に買い物ができるショッピングサイトを運営しているとします。ショッピングサイトは会員制で、会員はIDとパスワードで本人確認を行うと買い物ができます。
さて、あなたはIDとパスワードだけで会員が本当に「本人である」と確信できますか?
「ショッピングサイトが ID とパスワードを厳重に管理するのは当然として、ほかにパスワードは必ず 8 文字以上じゃないとダメなパスワードにするといったルールを決める必要があるね。あと、会員には ID とパスワードは誰にも教えないように伝えなきゃいけないな。ここまでしっかりしたショッピングサイトだったら問題はないと思うけど?」
ハッカーは ID やパスワードを 狙っている!
もし、会員の方が決めたパスワードが単純でわかりやすいものだったらどうでしょう? 何らかの方法で ID を入手したハッカーがパスワードを類推したらどうでしょうか?
あるいは、会員のパソコンにスパイウェアが忍び込んでいるかもしれません。そのスパイウェアが会員のキーボード入力をハッカーあてに送信してしまうものだったら?
ひょっとしたら、ハッカーはあなたのショッピングサイトにそっくりにできたニセのサイトを作るかもしれません。ハッカーが会員にニセのサイトに来てもらうような電子メールを送っていたら・・・。
ID とパスワードを入手したハッカーは、正々堂々とあなたのショッピングサイトで買い物し、高額な商品を受け取ることができるでしょう。
ID : abc0123Password: 7&sQAです。これを下さい。
ID : abc0123Password: 7&sQAです。これを下さい。
???
オンラインショップ
Aさん
ハッカーX
「ID とパスワードは盗まれる可能性があるんだね・・・。」
![Page 8: 技術者でなくても分かる電子証明書と PKI 入門 - DigiCert · 2019. 10. 17. · 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を](https://reader036.fdocument.pub/reader036/viewer/2022062507/5fe2876c00bc43281f56fda5/html5/thumbnails/8.jpg)
White Paper : 技術者でなくても分かる電子証明書と PKI 入門(基礎編)
8
確かにハッカーが ID とパスワードを入手するのは簡単なことではないかもしれません。しかし、考えてみてください。ほんの数年前に比べて、ショッピングサイトの利用者は急増しています。
ハッカーはあなたのショッピングサイトの 1 人分だけでも会員 IDとパスワードを盗んでしまえば、さも正当な会員であるかのように、買い物ができてしまうのです。
また、ID やパスワードの流出は、実際に被害として認識されるまで誰にも気づかれないことがほとんどです。そして、気づいたときには、計り知れない被害になっていることも珍しくありません。
「どれくらいの被害が出るか想像できないな。お客様にとても迷惑がかかるし、会社の信頼もキズついてしまう・・・。被害が出てからでは手遅れなんだね。ID とパスワードのほかに、もっと安全な方法はないのだろうか?」
インターネットの世界にも 本人確認ができる証明書がある
ここで一度インターネットの世界を離れて、現実の世界を見てみましょう。
私たちがスポーツクラブの会員になるときや、携帯電話を契約するときには本人確認ができる証明書の提示を求められます。証明書を提示することで「私は本当に○○という名前で××に住んでいますよ」、ということを証明できるからです。
○○スポーツクラブ
運転免許証
Aです。入会します。
Aです。入会します。
いらっしゃいませ。Aさんですね。
本人確認ができる証明書を提示して下さい!
○
×
実はインターネットの世界にも本人確認ができる証明書があるのです。この証明書を利用すれば、ID とパスワードだけよりもずっと安全性が高まります。
「インターネットの世界にも“証明書”があるんだ。でもインターネットの“証明書”ってどんなものなのだろう?」
インターネットは電子的な情報が行き交う世界です。だから証明書も「電子証明書」になります。
現実の世界に、パスポートや運転免許証など用途に応じて様々な証明書があるように、電子証明書も、個人を証明するものや企業や団体を証明するものなど、様々な種類があります。
![Page 9: 技術者でなくても分かる電子証明書と PKI 入門 - DigiCert · 2019. 10. 17. · 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を](https://reader036.fdocument.pub/reader036/viewer/2022062507/5fe2876c00bc43281f56fda5/html5/thumbnails/9.jpg)
White Paper : 技術者でなくても分かる電子証明書と PKI 入門(基礎編)
9
電子証明書の例
電子証明書には証明書の所有者のほか、発行者や期限なども記載されています。電子証明書は暗号技術に基づいて作られているので、偽造するのがたいへん困難で、事実上不可能です。これらの点は現実の世界の証明書にも似ていますね。
あなたのショッピングサイトでは会員に電子証明書を発行するようにしておけば、万一ハッカーに ID とパスワードが盗まれても、被害を食い止めることができます。
IDとパスワードは流出してしまうと、被害として認識されるまで、誰にも気づかれないことがほとんどです。インターネットで安全に本人確認を行うには、IDとパスワードに加えて、電子証明書を使うことが有効です。電子証明書は暗号技術に基づいて作られているので、偽造することが非常に困難だからです。
![Page 10: 技術者でなくても分かる電子証明書と PKI 入門 - DigiCert · 2019. 10. 17. · 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を](https://reader036.fdocument.pub/reader036/viewer/2022062507/5fe2876c00bc43281f56fda5/html5/thumbnails/10.jpg)
White Paper : 技術者でなくても分かる電子証明書と PKI 入門(基礎編)
10
第3話:フィッシング詐欺への対策はできていますか?
新聞やウェブサイトなどで、個人情報の漏えいや迷惑メールなどに関する事件がさかんに取り上げられています。このような記事の中で、「フィッシング詐欺」という言葉を目にしたことはありますか?
「フィッシング詐欺は、ウェブサイトのニセモノを作る「なりすまし」の一種らしいね。ニセモノのサイトを作られないためには電子証明書が有効だって聞いたけど、実はフィッシング詐欺のことも電子証明書のことも詳しくは知らないんだ。」
フィッシング詐欺とは、悪意のあるハッカーが、実在する有名サイトや金融機関になりすまして、住所や氏名、クレジットカード番号などの個人情報を取得しようとするものです。2004 年頃からは日本の企業とユーザーを狙った事件がいくつか起こっており、実際に摘発されたケースもあります。発生件数は今後も増加していくことが懸念されています。
フィッシング詐欺急増中!フィッシング詐欺急増中! フ
ィッシング詐欺による
個人情報流出相次ぐ
フィッシング詐欺による
個人情報流出相次ぐ
深刻化するフィッシング詐欺被害
!!
「ハッカーは実在する会社になりすまして個人情報を奪おうとするのか・・・。フィッシング詐欺はまるで「振り込め詐欺」みたいだね。許せないなあ。」
フィッシング詐欺の手口とは?
フィッシング詐欺は、メールの偽装とウェブサイトの偽装によって成り立っています。
悪意のあるハッカーは、著名な金融機関などのウェブサイトを装ったニセのウェブサイトをあらかじめ用意します。ニセのウェブサイトは、本物のウェブサイトで使われている画像やロゴなどを使って作られており、本物とほとんど見分けがつきません。
また、ウェブブラウザの上部に表示される URL も、特殊な技術を使って本来の企業の URL を表示させる場合もあります。ニセのウェブサイトでは、”新しいサービスが利用できるようになる”などと偽って、住所や氏名、クレジットカード番号などの個人情報を入力させる内容がほとんどです。
次にハッカーは、このニセのウェブサイトを閲覧してもらうために、不特定多数の人に対して、送信元のメールアドレスを本来の企業であるかのように偽装したメールを送信します。メールを受け取った人は本来の企業からの案内だと思い込んでしまいます。
しかもメールには、ニセのウェブサイトにアクセスするよう誘導されるようなしくみになっているものもあります。HTML 形式のメールであれば、メールに本来の企業の URL を書いておき、安心してこれをダブルクリックすると、まったく異なるウェブサイトをウェブブラウザに表示させることも可能なのです。
このような様々なトリックが組み合わされているために、メールを受け取った人は何の疑いもなくニセのウェブサイトに情報を入力してしまうのです。
ハッカーX
「○○ネットバンクです。こちらのウェブサイトで、お得な新サービスをご紹介しています!」
偽装メール
偽装サイト
個人情報流出!○○ネットバンク Webサイトメールを信用してウェブサイトにアクセス
○○ネットバンクです。氏名、口座番号、暗証番号を入力してください。
![Page 11: 技術者でなくても分かる電子証明書と PKI 入門 - DigiCert · 2019. 10. 17. · 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を](https://reader036.fdocument.pub/reader036/viewer/2022062507/5fe2876c00bc43281f56fda5/html5/thumbnails/11.jpg)
White Paper : 技術者でなくても分かる電子証明書と PKI 入門(基礎編)
11
「ハッカーからのメールを受け取った人は、その内容を信じてニセモノのウェブサイトにアクセスして、個人情報を入力してしまうのか。でも、電子証明書があるとどういう効果があるのだろう?電子証明書さえあればウェブサイトのニセモノが作られることはないのだろうか?」
ニセのウェブサイトかどうかは 「電子証明書」でチェック!
電子証明書には、「このウェブサイトは本物の○○社が運営しており、正しい URL は△△△である」ことを裏付けるものがあります。この証明書のことを「サーバ証明書」あるいは「サーバ ID」と呼んでいます。サーバ証明書を用いると、ウェブサイトが偽装されているものかを調べることができます。
「誰かが、これは本物のウェブサイトである、ということを確認してサーバ証明書を発行しているのだね。では、サーバ証明書は誰が発行するのだろうか?」
サーバ証明書は、そのウェブサイトを運営している会社ではなく、信頼できる第三者機関が発行します。この第三者機関のことを「第三者認証局(単に「認証局」や「CA」とも呼ばれる)」といいます。ウェブサイトにサーバ証明書を組み込めば、そのウェブサイトは信頼できる第三者によって本物であると証明されていることになります。ウェブサイトを閲覧する人はサーバ証明書を確認すれば、そのウェブサイトが本物であるかどうかがわかります。
サーバ証明書が発行されているウェブサイトの URL に https でアクセスすると、ウェブブラウザの右下にカギのアイコンが表示されます。
このアイコンをダブルクリックするとサーバ証明書が表示されます。
○○ネットバンク Webサイト
○○ネットバンク Webサイト
正しいサーバ証明書が表示されたよ。本物の○○ネットバンクのウェブサイトだね。
をダブルクリックしたら、
○○ネットバンクウェブサイト
偽装サイト
第三者認証局
サーバ証明書
あれ?サーバ証明書が表示されないぞ?このウェブサイトはニセモノだ!
○
×
また、サーバ証明書は通信の暗号化にも使うことができます。ウェブサイトを閲覧している人とウェブサーバ間の情報を暗号化すれば、もし通信をハッカーに盗聴されてしまっても、通信内容までハッカーに知られることは事実上不可能です。
![Page 12: 技術者でなくても分かる電子証明書と PKI 入門 - DigiCert · 2019. 10. 17. · 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を](https://reader036.fdocument.pub/reader036/viewer/2022062507/5fe2876c00bc43281f56fda5/html5/thumbnails/12.jpg)
White Paper : 技術者でなくても分かる電子証明書と PKI 入門(基礎編)
12
「電子署名」があれば 怪しいメールを見分けられる!
電子署名とは、電子データに「これは私が作ったものです」という情報を書き加えることです。まるで「メールに印鑑を押す」ようなものだとも言えるでしょう。
電子署名には暗号技術が用いられており、電子署名を偽造することは事実上不可能といえます。
では、電子署名がフィッシング詐欺に対してどのような効果があるかを見てみましょう。まず、ウェブサイトを運営する会社は、社員に電子証明書を発行します。この会社では、社外にメールを送信するときは、必ず電子署名をし、電子証明書をいっしょに送ることにします。
電子メールを受け取った人は、電子メールについている署名を、受け取った電子証明書を使って確認します。もし、ウェブサイトの運営会社の署名であれば、そのメールを送信したのは本物のウェブサイトの運営会社であることがわかります。もし署名がなかったり、別な会社の署名がついていれば、そのメールはウェブサイトの運営会社のふりをしている第三者によって送信された可能性がある・・・つまり、フィッシング詐欺の疑いがあることがわかるのです。
電子署名が付いているから、これは○○ネットバンクからのメールだ。
このメールには署名がない!怪しい!
○
×電子署名付きメール
電子署名なしメール
○○ネットバンク社員
○○ネットバンクを偽装するハッカー
我が社の電子証明書で、メールに署名します。
利用者への啓発で フィッシング詐欺の被害を防止しよう!
「電子証明書や電子署名はフィッシング詐欺に対抗できるだけではなく、弊社のウェブサイトは安心してアクセスできるよ、ということをアピールすることもできるんだね。」
その通りです。電子証明書や電子署名は安心して情報をやりとりするために非常に有効なものですが、それだけでは安全とは言い切れません。情報をやりとりする相手に「電子メールは偽装されやすいので、必ず電子署名を確認してください」、「ウェブサイトにアクセスしたら電子証明書をチェックしてください。チェックするポイントはここですよ」などと事前に知らせなければ安全とはいえないのです。
フィッシング詐欺の被害にあわないようにするために、電子メールやウェブサイトの情報を無条件に信用せず、怪しいところがないかを確認する習慣を持ちましょう。
電子メールには電子署名がついているか? ウェブサイトには電子証明書(サーバ証明書)があるか?これらの点をチェックすることで、本物とニセモノを見分けることができます。
![Page 13: 技術者でなくても分かる電子証明書と PKI 入門 - DigiCert · 2019. 10. 17. · 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を](https://reader036.fdocument.pub/reader036/viewer/2022062507/5fe2876c00bc43281f56fda5/html5/thumbnails/13.jpg)
White Paper : 技術者でなくても分かる電子証明書と PKI 入門(基礎編)
13
第4話:電子証明書はどんなものなのか?
これまでの説明で、インターネット上で情報をやりとりするのにどのような危険が潜んでいるかは理解していただけましたか? ここで、これまで説明してきたような危険に対して電子証明書がなぜ有効なのかを解説しましょう。
「どうして電子証明書が盗聴やなりすましを防げるのか、とても興味があるな。どんなしくみになっているのだろうか?」
電子証明書は「自分を証明するもの」ですから、情報をやりとりする相手側に公開することが前提となります。このことは、他人の電子証明書は誰でも入手できることを意味します。
では、ハッカーが発行者や発行先を改ざんして電子証明書を悪用することはないのでしょうか?
電子証明書は、「第三者による偽造がされにくいこと」と「発行者と発行先がわかること」によって、こういったことが防げるようになっています。
発 行 者有効期限名 前鍵 情 報・・・など
それでは、これらの特長について見てみましょう。
なぜ電子証明書は 第三者によって偽造されにくいのか?
電子証明書の偽造が難しいのは「発行者による電子署名がなされている」ためです。発行者による電子署名には主に「公開鍵暗号」という非常に解読の困難な暗号技術が用いられます。この署名に利用される暗号化の鍵は、電子証明書を発行した者だけが持っています。
このため、鍵を持っていないハッカーは、電子証明書を勝手に作り替えること(偽造)ができないのです。
仮にハッカーが 1 秒間に 1012(約 1 兆)個の鍵を試せるコンピュータを使っても、すべての鍵を試すのに原理的におよそ 300兆×1 万倍の年月がかかります。
「解読をするのにそんなに手間がかかるのなら、ニセの電子証明書を作るなんて現実的じゃないね。でも、電子証明書って誰が発行するのだろうか?信頼できるところが発行したものでなければ、電子証明書それ自体が信頼できないからね。」
![Page 14: 技術者でなくても分かる電子証明書と PKI 入門 - DigiCert · 2019. 10. 17. · 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を](https://reader036.fdocument.pub/reader036/viewer/2022062507/5fe2876c00bc43281f56fda5/html5/thumbnails/14.jpg)
White Paper : 技術者でなくても分かる電子証明書と PKI 入門(基礎編)
14
発行者と発行先がわかれば、 信頼できるか判断できる!
その通りですね。電子証明書は偽造が困難であるだけではなく、「誰から誰に対して発行されたものか」が明記されています。このため、電子証明書の発行者や発行先を簡単に確認することができます。
信頼できる機関や自分が勤務している会社などが発行者である電子証明書ならば、電子証明書の発行先(電子証明書の所有者)が信頼しうると判断することができます。
A社(発行者)B社(発行先)
①電子証明書を発行する
②発行者と発行先を 確認する
③発行者であるA社が 信頼できるかを確認する④確かに
B社だね!
つまり、私たちは電子証明書の発行者を確認し、その発行者が信頼できると判断することで、電子証明書の発行先(電子証明書の所有者)を信頼することができるのです。
電子証明書は、証明書発行サービス会社や政府、企業などが運営する「認証局(CA)」と呼ばれる機関が発行しています。認証局は自らの信頼性や安全性、電子証明書の用途や信頼レベルなどを
「認証業務運用規程(CPS)」という文書にまとめて公開します。この CPS を確認することで、認証局が信頼に足るかどうかを確認できます。
「電子証明書を持ちたいと思ったら、信頼できると判断した認証局に発行してもらう必要があるのだね。また、信頼できる認証局が発行した電子証明書だから、発行先も信頼することができるということだね。」
信頼できる認証局ってどこ?
ユーザが信頼できる認証局を一つずつ確認することは大変です。Internet Explorer や Netscape などの一般的なブラウザには予め信頼できる認証局の電子証明書(ルート証明書)が組み込まれており、ブラウザが証明書の有効性を調べてくれます。
シマンテックの認証局はインターネットの世界で多くの利用者に信頼されている認証局のひとつであり、多くのブラウザにルート証明書が組み込まれています。
電子証明書の発行者を確認することで、発行者や発行先が信頼できるかを判断できます。電子証明書には発行者の電子署名が必要なので、第三者が偽造することは不可能と言えます。
また、信頼されているルート証明書は一般的なブラウザやメーラーなどに予め組み込まれているので利用者は簡単に確認することができます。
![Page 15: 技術者でなくても分かる電子証明書と PKI 入門 - DigiCert · 2019. 10. 17. · 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を](https://reader036.fdocument.pub/reader036/viewer/2022062507/5fe2876c00bc43281f56fda5/html5/thumbnails/15.jpg)
White Paper : 技術者でなくても分かる電子証明書と PKI 入門(基礎編)
15
第5話:電子証明書はどのように使われるの?
それでは、電子証明書が実際にはどのように使われているかを見てみましょう。
電子証明書の実例 1インターネットバンキング
パソコンを使って振込や残高照会ができる「インターネットバンキング」は、忙しいビジネスマンや、多くの入出金手続きを行う企業にはとても便利なサービスです。このインターネットバンキングにも電子証明書が使われているのをご存じでしょうか?
ウェブサイト
認証局
認証局
電子証明書(サーバ証明書)発行
電子証明書発行
暗号化通信(振込、残高照会など)
SSLサーバ証明書発行サービス会社
銀行利用者
インターネットバンキングでは、銀行と利用者それぞれが電子証明書を持っています。
銀行の電子証明書(サーバ証明書)はシマンテックのような SSLサーバ証明書発行サービス会社が運営する認証局が発行します。一方、利用者の電子証明書は銀行が運営する認証局が発行します。
銀行は利用者の電子証明書を確認すれば、ニセモノではない正当な顧客であることを判断できます。一方の利用者は、銀行のサーバ証明書を確認すれば、自分がアクセスしたインターネットバンキングのウェブサイトがニセモノではないことを判断できるのです。
そして、利用者と銀行の間の通信はサーバ証明書を使った暗号化がなされているので、残高照会や振込に必要な情報が漏えいすることを防止できます。
「利用者と銀行の両方が電子証明書を持っているから、実際の銀行窓口のように安心して取引できるのだね。」
電子証明書の実例 2USB トークンで外出先からでも安全に社内ネットワークにアクセスする
モバイルコンピューティングが普及し、最近では営業担当者がノートパソコンを持って客先を訪問することも当たり前になってきました。また、インターネット上で安全に拠点間通信を行う技術
「VPN (Virtual Private Network)」の利用も増えてきています。VPN を導入して、外出先からでも社内ネットワークにアクセスできるようにしている企業は非常に多くあります。
このようなシステムでは、社外からアクセスしてきた人が本当に自社の社員であるかを確認するしくみが必要です。これには、外出先からアクセスしてくる利用者にあらかじめ電子証明書を発行することが有効です。特に最近では、外出先の利用者(電子証明書の所有者)だけが持てる鍵を USB メモリに保存した「USBトークン」を利用する企業が増えています。
電子証明書発行
認証局
社内ネットワーク外出先の利用者
VPNVPN
認証しました
USB
![Page 16: 技術者でなくても分かる電子証明書と PKI 入門 - DigiCert · 2019. 10. 17. · 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を](https://reader036.fdocument.pub/reader036/viewer/2022062507/5fe2876c00bc43281f56fda5/html5/thumbnails/16.jpg)
White Paper : 技術者でなくても分かる電子証明書と PKI 入門(基礎編)
16
合同会社シマンテック・ウェブサイトセキュリティhttps://www.jp.websecurity.symantec.com/〒104-0028 東京都港区赤坂1-11-44赤坂インターシティTel:0120-707-637E-mail:[email protected]
Copyright ©2014 Symantec Corporation. All rights reserved.シマンテック(Symantec)、ノートン(Norton)、およびチェックマークロゴ(the Checkmark Logo)は米国シマンテック・コーポレーション(Symantec Corporation)またはその関連会社の米国またはその他の国における登録商標、または、商標です。その他の名称もそれぞれの所有者による商標である可能性があります。製品の仕様と価格は、都合により予告なしに変更することがあります。本カタログの記載内容は、2014年4月現在のものです。
利用者が外出先から社内ネットワークにアクセスするときは、ノートパソコンに USBトークンを接続します。一方、社内ネットワークには電子証明書を利用した認証システムを構築し、正当な利用者であることを確認してからアクセスを許可するようにします。
「USBトークンに鍵を入れると持ち運びが楽になるし、外出先からも社内ネットワークに安全に接続できるようになるから便利だね。」
電子証明書の実例 3家電 EDI システム
最後に、家電メーカーと販売店を相互に結ぶ企業間取引「EDI (Electronic Data Interchange)」システムの例を紹介しましょう。
販売店各社 家電メーカー各社
EDI システム運営企業
電子証明書発行
暗号化通信(在庫照会、受発注など)
専用線(各社の受発注処理)
インターネット
A社
○○社
××社
B社
C社
EDI システムの運営企業は認証局を設立し、販売店各社に対して電子証明書を発行します。認証局から発行された電子証明書を使うことで、販売店各社は安全に在庫照会や受発注を行えます。販売店各社からの在庫照会や受発注の情報は、EDI システムの運営企業を経由して、メーカー各社に送られます。
販売店はインターネットを利用できるパソコンとウェブブラウザがあれば、安心して EDI システムを利用し、メーカー各社の在庫状況をチェックできるというメリットがあります。シマンテックの電子証明書が導入されている EDI システムには、ユーザー数が 1 万4 千以上という大規模なものもあります。
「電子証明書は様々な使い方があるんだ。 インターネットで安全に情報をやりとりするのに、電子証明書は欠かせないね。」
電子証明書はインターネットバンキングやリモートアクセス、EDI などインターネットを介した様々な業務で利用されています。
電子証明書を利用することで、インターネット上でのより強固な認証や安全なデータ通信が可能になっているのです。