CyberSEALs’s diary

セキュリティをカッコよく!を合言葉にセキュリティ関連の情報発信していきます!

銀行口座不正利用にみるDV証明書の在り方

<銀行口座不正利用にみるDV証明書の在り方>

皆さん。

 

 

連日ニュースで報道されている、複数の銀行における口座不正利用。

セキュリティ業界に関わる者として非常に情けなく、利用者の皆様へ不信感をいだかせってしまっており悔しい限りです。

 

皆様はこの問題の原因はどこにあると思いますでしょうか。

ドコモ口座の記事でも触れましたが、リバースブルートフォース攻撃のような外部からのサイバー攻撃への備え不足はもちろん、その他にも本人確認プロセスの不足、根本的なセキュリティ対策への意識の低さ等々・・・

様々なご意見があると思いますが、恐らくそれは全て正解です。何故ならば、高度なサイバー攻撃は「一連のプロセス」として「組織化された集団」により実施されており、「様々な弱点を利用」しながら最終的な目的を達成するものだからです。

 

そんな中で、今回僕が注目したいのが【DV証明書】という要素です。

サーバ証明書とはなにかについては、皆様ご存知のものとしてお話を進めますが、この記事を読んで頂いている方も証明書の恩恵に与り、暗号化通信のもと記事をご覧頂いているかと思います。

念のため簡単におさらいですが、サーバ証明書には3つの種類があるということは必ず押さえておいて頂く必要があります。

 

サーバ証明書種別】

・EV証明書 ドメイン認証+より厳格な組織認証

・OV証明書 ドメイン認証+組織認証

・DV証明書 ドメイン認証

 

これらの違いを一言で言えば「認証を行うレベル」です。

詳しく書くとめちゃくちゃ長くなるので端折りますが、インターネット上でサーバ証明書を利用するために大きく「組織認証」「ドメイン認証」という認証作業が必要であり、その認証をどの程度まで厳格に行うかという違いがEV、OV、DVの差ととなります。

その中でも今回の記事の主役である【DV証明書】はドメイン認証のみで利用が可能となるタイプの証明書です。この証明書はインターネット環境で脅威的なスピードで利用が増加しており、いわゆる「*常時SSL化」の牽引役となっています。

*常時SSLとは?:もともと、インターネットにある全てのサイトへの通信を暗号化して安全にするぞ!ということで始まったのがこの常時SSLです。

 

但し、僕はこの【DV証明書】は今すぐに使用できなくするべきだと思っており、このDV証明書こそが銀行口座の不正利用に代表される不正アクセスの温床だと考えています。(もちろん、これが全てではないですが・・・)

何故か。

それは、不正アクセスにより何らかのインシデントが発生する時というのは、ほぼ確実に「なりすましサイトで利用者の口座情報、ネットバンクへのログインID、PW等の必要な情報を搾取する」ということが事前に行われており、そのようななりすましサイトでは往々にして【DV証明書】が使用されているからです。

もちろん、パスワードリスト攻撃などもあるでしょうが、その際に使われるリストも何かしらのなりすましサイト等で搾取されたもの若しくは過去のインシデントで使用された情報であるケースが多いかと思います。

一般のインターネット利用者は「とりあえず通信が暗号化されていれば安全」というような意識を持っている方が大半です。むしろ暗号化ということすら意識していない方も多いかもしれません。(※但し現代のブラウザは暗号化されていないと何らかの注意喚起を画面で行います)

ただし、セキュリティ観点から言えば、(ここは重要な部分です!! ^^)

【DV証明書】は、そのドメインがあることだけを認証しているのみであり、そのドメインが正しい主体(組織)に紐づくものか?という点は無視して利用が可能です。当然、サイバー犯罪を行う側からすれば、「本物に類似したドメインドメインを取得し【DV証明書】を発行してもらったうえで、暗号化通信をできるなりすましサイトを作ろう」と考えます。(※やらないですが、僕でもそうすると思います( 一一))

 

つまり、本当は安全でも何でもない【DV証明書】が増え、安全っぽくみえるなりすましサイトが増えることで、最終的には銀行口座の不正利用等の不正アクセスにつながると僕は考えています。

繰り返しですが、不正アクセスの原因はこれだけではありません。ただ、利用者にPWの定期的な変更をお願いするというアプローチには限界がある僕は考えています。やはり利用者=お客様であって、なかなか強くやれ!とは言えないものです。

そういった意味でも、異なる1つのアプローチとして【DV証明書】というものがなくなる若しくは在り方を変えていくことで、より安全なインターネット環境を築いていくことができるのではないでしょうか。

 

すごいスケールが大きいことを言っています。生意気だなとここまで書いて思います。

が、共感して頂ける部分や参考になる部分が少しでもあれば嬉しいです(^^♪

 

長々とありがとうございました!!!

 

f:id:CyberSEALs:20201007191101j:plain

(去年の夏ですかね。今年は夏が無いようなものでしたね・・・)