◆総務省、サイトの安心・安全性を示す実証実験サイトで「オレオレ証明書」(2006/03/30)
総務省が27日に公開したコンテンツの表現レベルなどを表示する「コンテンツアドバイスマーク(仮称)」の実証実験サイトで、サーバーの正当性が確認できない、いわゆる「オレオレ証明書」が使用されていることが29日、分かった。
コンテンツアドバイスマークは、コンテンツの格付けに応じ「12歳以上推奨」などのマークをWebページに表示し、利用者がコンテンツの安心・ 安全性を容易に判断できるようにするためのもの。同サイトは実施中の実証実験のうち、マークを貼付したページが一般にも閲覧できるように、今月27日から29日まで公開していた。
公開されたサイトは「htps:」で始まる暗号化通信を用いていたが、アクセスすると「証明書が信頼できる機関から発行されていない」との「セキュリティの警告」が表示。サーバー証明書は、発行者がドメイン名と同じ名前になっている上、認証局の存在をインターネット上から確認できないという怪しいもの。サイトの安心・安全性以前に、サーバーの正当性が判断できない状態になっていた。当該サイトは同省のドメインとは異なるURLに置かれていたが、発表文にはその旨を伝える記述はなく、警告が表示されることも記載されていなかった。
同省情報通信政策局によると、当該サイトは日立製作所の実験サーバーの一部をお試し用に公開したもので、費用の関係からサーバー証明書は取得しなかったという。同局は、正規に運用する場合には、このようなことは起こらないようにするとしている。
(2006/03/30 ネットセキュリティニュース)
■ウェブサイトの安心・安全性を示すマークの実用化に向けて(総務省)
http://www.soumu.go.jp/s-news/2006/060310_7.html
■インターネット・コンテンツの表現レベル等を表示するマーク技術の実証実験の公開(総務省)
http://www.soumu.go.jp/s-news/2006/060324_2.html
■参考:コラム
・もう騙されない!~フィッシングサイトの見分け方【上級編】