 「オレオレ証明書」の問題ってご存知ですか?名称自体は「オレオレ詐欺」のパクリかとおもうのですが、そもそもネットにおける「証明書」とはなんぞやということを知らないと理解できないかも。 利用者と、サービス提供会社があるときに、第3者である証明書を発行する会社が、サービス提供会社が本物の実体のある会社ですよと証明するものです。サービスの内容までは保証しませんが、実体のある企業というだけで、そこそこ安心できる内容のものです。ちなみに、証明書といっても紙ではなく、ネット上ですので電子データです。この証明書によってデータは暗号化されます。 レンタルビデオに言い換えれば、お客さんであるあなたと、TSUTAYAのようなレンタルビデオ店、身分証明書である運転免許証を発行する各都道府県警と置き換えればわかりやすいかな。証明書の発行を受ける者がレンタルビデオ店ではありませんが、運転免許証によって身分証明されるあなたと、レンタルビデオ店の関係のような。もちろん、身分証明はされますが性格や行動などは保証されません(^^;。身元が分からない人にビデオは貸さないように、どこの誰ともわからない企業と取引する個人や法人はいません。 さて、第3者が提供することにより信頼性が担保される証明書を、サービス提供会社自身がだしちゃうというのがこの「オレオレ証明書」の問題。信頼性が担保されない非常に危険な問題です。「俺自身を証明するのは、俺が発行する証明書だ!」というものです。一般的に、個人の身分証明書は運転免許証だったりするのですが、そんなのではなく、自分が手書きで書いた「俺様証明書」だと言い張るのとほぼ同義です。そんなの、信用できねーべと。 まぁながながと、ぐだぐだ書きましたが、これが現存する銀行がインターネットバンキングとして行っているから、さぁ大変。ただの「オレオレ証明書」問題だけではなく、その警告画面を無視し、そこから発展するセッションハイジャックに代表されるサービスの脆弱性に、銀行の担当者も危険性にあまり敏感ではないようです。 下記、参考文中に登場する銀行はすべて地方銀行です。読んでみてください。 参考:高木浩光@自宅の日記 2007年11月17日 こんな銀行は嫌だ 2007年11月25日 オレオレ警告の無視が危険なこれだけの理由 あなたが口座を持っている銀行は大丈夫ですか? |
参考先がみられないんですけど
これって、みみずんさんの仕事と関連してるギンコーですか?
おいらが口座を持っている銀行は大丈夫です。でもまぁ、証明書は有効期限がありますから、たまには気をつけてみないといけませんね。
企業向けのホスティングサービスをしている某社では有効期限切れの証明書をかなり長期にわたって使っていましたから。。。あれはいかがなものかと思ったけど、大した情報なかったし。(そういう問題じゃないが)