サイトのセキュリティ改善策をご検討いた - サイトー企画へのご意見 - スレッド01171, 2014/08/22

サイトのセキュリティ改善策をご検討いた

キノコムシ さん　14/08/22 10:42

最近よその老舗エディタの開発元サイトが改ざんを受け、不正なファイルを配布して
しまったかも知れないという事件があったのはご存じの通りです。

下手をするとそのせいで「社内でシェアウェアのエディタは使うな」というお達しが
出てしまいかねない雰囲気になっています。社内では既に400ライセンス導入されて
おり、個人的にも20年以上愛用しているため、そんな事態は是非とも避けたいところ
です。

私が社内的にがんばるのは当然ですが、御社的にもセキュリティの改善を図っていた
だけると大変ありがたいと思います。もちろん現状がダメだといっているのではなく、
外形的に見える対策をとっていただければ、ということです。

具体的には、以下の２点についてご検討いただけないでしょうか？

１．配布元サーバーをhttps化する

２．配布ファイルのハッシュ値を公開する

もちろんこれでもサーバーに侵入されたらどうしようもありませんが、よそや偽サイ
トで不正改造物を掴まされたりする恐れは激減します。

社内的にも「ソフトのダウンロードはhttpsのサイトから」と教育しているのに、秀
丸エディタだけは平文サーバーというのはダブルスタンダードですっきりしないもの
を抱えていました。

以上、ご検討いただければ幸いです。

RE:01171 サイトのセキュリティ改善策をご

秀まるお2 さん　14/08/22 11:31

　今話題になってるよそさまのソフトは、最近になって自動更新の機能を装備し
て、しかもその自動更新が、サービスという形で管理者権限で常に動いていて、
ユーザーアカウント制御の許可も出さずに暗黙のうちに更新するということで、
まさにハッカーの標的になったのかなぁと思います。

　うちのソフトはそういう自動更新の類はやってないので似たような攻撃が起き
ることは無いと思いますが、何らかの形でサイトが乗っ取られてしまうことがあ
れば、うちのサイトからダウンロードしたファイルをインストールして被害に遭
うって可能性もゼロとは言えないです。

　ただ、うちのソフトはちゃんと電子署名してるので、インストール時に電子署
名だけ確認していただければ、改ざんされてないことの証明になって大丈夫じゃ
ないかと思います。なので、

> ２．配布ファイルのハッシュ値を公開する

　っていうのは必要ないはずだと思います。

　逆に言うと、電子署名してないファイルは改ざんされてても分からないし、そ
もそも「ハッシュは××です」ってことを掲載しても、その掲載内容自体も改ざ
んされたら同じだし、現状の電子署名の方が信頼度は高いんじゃないかと思いま
す。

> １．配布元サーバーをhttps化する

　https化する目的は、つまり、サーバー上に置いてあるファイルの改ざんじゃ
なくて、通信経路上で改ざんされることを防ぐってことになるかと思います。

　だとすると、仮に改ざんされてれば、やはり先ほどの話と同じく電子署名が狂
ってくるはずなので、それで不正が見抜けるはずです。

　ということで大丈夫だとは思うんですが…。

　ただ、しいて「https:」でダウンロードできるようにも対応することは、やろ
うと思えば出来ないことは無いです。

　誰かセキュリティに詳しい人がおられましたら、たとえば「https対応すべ
き」というご意見が多いようでしたら、一回トライしてみたい所です。

RE:01172 サイトのセキュリティ改善策をご

Kaisan さん　14/08/22 18:23

kaisan@ユーザです。

署名されていれば改竄？されていないということにはならないと思います。

日本のソフトではないのですが、同じ社名で認証局が異なるファイルが
有ったことが有ります。（なりすまし）

インストール時は証明書を確認しないと認証局が分かりません。
また、その認証局が正しいかどうかユーザは知らないので、
ハッシュ値を公開するのは有りだと思います。

※HPとダウンロードのサーバが異なっていた方がより安全です。

RE:01173 サイトのセキュリティ改善策をご

秀まるお2 さん　14/08/25 09:04

> 日本のソフトではないのですが、同じ社名で認証局が異なるファイルが
> 有ったことが有ります。（なりすまし）

　ちょっとネット検索してみたのですが、そういう事例の具体的な記事とかの類
は見つけることができませんでした。

　もし「ここにあります」ってURLがあったら教えて欲しいです。

　SSL証明書の偽造の話なら過去にあったようですけども。
　（http://cloud.watch.impress.co.jp/docs/news/20120209_510490.html）

　コードサイニング証明書は、もしもなりすましで取得しようとすると、たしか
に会社が設立されてることが必要なので、それだけでも最低は３００万円の資本
金が必要だろうと思うし、会社を設立する上では匿名でって訳にはいかないし、
そこまでして偽造することは無理があると思います。

　ハッシュを公開したとしても、果たして何パーセントの人が、ダウンロードの
度にハッシュを確認するのか…。正直、電子署名もハッシュも両方確認しないと
実行しないって人は、ダウンロードできるソフトなんてほとんど無くなってしま
います。

　その辺考えると、やはり電子署名だけで十分かと思います。

RE:01174 サイトのセキュリティ改善策をご

秀まるお2 さん　14/08/25 09:30

> > 日本のソフトではないのですが、同じ社名で認証局が異なるファイルが
> > 有ったことが有ります。（なりすまし）

　ちなみにですが、うちの会社の証明書も、昔と今とで認証局が違ってます。そ
れは別に問題なく、両方ともうちの会社の正しい証明書です。

　昔はThawteって所から発行してもらってましたが、今はSymantecから発行して
もらってます。

　あと、コードサイニング証明書は、うちのWebサーバー上にも、うちの会社の
パソコンのハードディスク上にも置いてなくて、USBで接続するコンパクトフラ
ッシュメモリ上に置いていて、電子署名が必要になった時だけ、それを接続して
署名するようにしています。

　SSL証明書はWebサーバー上に置いてないと使えないので、Webサーバーが
ハッキングされると盗まれる可能性があると思います。

　SSL証明書とコードサイニング証明書はまったく別なのですが、たぶん世の中
一般の方はその辺の区別は知らないと思います。
　（という僕も昔は知りませんでした）

RE:01174 サイトのセキュリティ改善策をご

Kaisan さん　14/08/25 09:46

> 　もし「ここにあります」ってURLがあったら教えて欲しいです。

自分のPCで発見しました。

ウイルス対策ソフトがそのソフトのインストールフォルダ内にある
ファイルに対して警告を出したので確認したところ、
証明書が他のファイルと違うプログラムがありました。

開発元の日本法人に問合せしたのですが何も返事が返ってきませんでした。

認証局のルート証明が以前大問題になった認証局を認証していた
所と同じだったので、かなり怪しいと思っています。

確かにまともな認証局なら問題が無いでしょうが、
ろくな審査もしないところもあり得るということです。

PS
　そのPCはリカバリーで工場出荷時に戻しました。

RE:01176 サイトのセキュリティ改善策をご

秀まるお2 さん　14/08/25 10:28

　具体的に、何という会社の何というソフトでそういうことがあったのか分かれ
ば、果たしてそのソフト（あるいは会社）でハッキング事件があったのかどうか
はネット検索すれば出てくるんじゃないかと思いますけども…。

　そういうニュースが出てないってことは、別に何も問題無かったんじゃないで
しょうか。

　先ほどの01175番発言にもありますが、発行元の違う、複数の証明書が存在す
ることはありえるし、実際にうちの会社の証明書も、時期によって発行元が違い
ます。

> 開発元の日本法人に問合せしたのですが何も返事が返ってきませんでした。

　セキュリティ関係で何か疑問がある時は、IPAって所に問い合わせするといい
かもしれないです。

　http://www.ipa.go.jp/

> 確かにまともな認証局なら問題が無いでしょうが、
> ろくな審査もしないところもあり得るということです。

　それって憶測での話ですよね。

　とりあえず、うちの最新の証明書はSymantecさんが発行してる物なので、
Keisanさんの考える「ろくな審査もしないところ」では無いと思います。それな
りの審査を受けて発行してもらってるつもりです。

RE:01177 サイトのセキュリティ改善策をご

キノコムシ さん　14/09/01 09:57

ちょっと放置になってしまいました。すみません。

デジタル署名の意味についてはもちろん理解しています。しかし世の中に
は改ざんパッケージに違う署名を付けて配布する会社もあります。

デジタル署名つきの改ざんパッケージについては、以下のような例があり
ます。このように「デジタル署名がある」だけでは安心できません。本来
署名の中身を見るのは当然ですが、一般ユーザーにはやや難しいかも知れ
ません。詐欺師は紛らわしいものを作るのが商売ですし。
http://togetter.com/li/681897

ハッシュについては、Windowsが標準では対応していないので難しいこと
には変わりないのは確かです。さほど意味はないかも知れませんが、導入
は極めて簡単なのでご提案しました。オープンソースソフトの世界では
ハッシュ掲載はごく普通ですし。

また、サイトのSSL化についてですが、偽サイトでないことの証明のため
という意味でご提案しました。ですから、高価ですがEV-SSLを導入して
いただければなおよいと思います。

とりあえずは利用規定第５条に基づいて社内イントラに転載して、社内
ユーザーには「これを使え」とやろうかと考えています。

# 一応セキュリティスペシャリスト持ちです(^^;。

RE:01178 サイトのセキュリティ改善策をご

秀まるお2 さん　14/09/01 11:37

> デジタル署名つきの改ざんパッケージについては、以下のような例があり
> ます。このように「デジタル署名がある」だけでは安心できません。

　なんか話がずれてる気がするのですが、僕も「デジタル署名があるかどうか確
認すればＯＫです」と言ってるつもりはまったくありません。

　サイトー企画のデジタル署名が付いてるかどうかを確認して
~~~~~~~~~~~~~~

　と言ってるつもりではあります。

http://hide.maruo.co.jp/software/chktrust.html

　の所にも、そういう意味のことを書いてるつもりです。

　セキュリティのスペシャリストということでしたら、当然、発行元の確認を周
知徹底されてると思うのですけど、つまり、そういうことを言っても聞かない人
がいるとかって話ですかね。だとしたら、たぶんそんな人は、ハッシュの確認な
んてもっと面倒なことは、当然やらずにポポんとクリックしてインストールしち
ゃうんじゃないでしょうか。

　ハッシュを確認するにも、たぶんそのハッシュ確認ソフト自体、電子署名され
てる物なんて無いだろうし、そういうソフトはインストールするのがＯＫで、秀
丸だけは電子署名＋ハッシュが無いとダメっていうのは、なんとなくうちの会社
にだけ不当に高いセキュリティを要求されてて、不公平な気がします。

　あるいは…

　「サイトー企画」にマネた「サイトウ企画」とかいうダミー会社を作ってそこ
で電子署名したファイルを作成して、さらにはうちのサイトを乗っ取ってそこに
置く、みたいなことまで起こりえるというのなら…。たぶんそんな面倒なことを
するお金と技術があったら他のもっとハードルの低いソフトをターゲットにする
んじゃないかと思います。（某競合エディタさんはまさにそういう費用対効果で
狙われたんだと思いますけども）

> は極めて簡単なのでご提案しました。オープンソースソフトの世界では
> ハッシュ掲載はごく普通ですし。

　オープンソースの世界で電子署名が無いのは、そもそもそのソフトの所有者が
誰ってことが無いので、署名のしようがなくて、結果としてハッシュに頼るしか
無いという話じゃないかと思います。

　というか、電子署名してさらにハッシュも公開しないとダウンロードしてくれ
ないってことになったら、うちの会社だけじゃなくて、もうどこのソフトもダウ
ンロード出来ないような気がしますけども…。どうしてうちの会社にだけそんな
厳しい要求をされるのやら？。

　もしどうしても「ハッシュ＋電子署名」でないと信用できないってことでした
ら、そもそもダウンロードすること信用しない方がよろしいんじゃないかという
話になってしまいますけど…。というか、実際そういう会社様があって、CDに焼
いて送ることはあります。

> また、サイトのSSL化についてですが、偽サイトでないことの証明のため
> という意味でご提案しました。ですから、高価ですがEV-SSLを導入して
> いただければなおよいと思います。

　たしかに偽サイトかどうかの証明にはなりますが、今回の某競合ソフトさんみ
たいにサイトの中が書き換えられてしまった場合は無力だし、むしろSSLがある
ことでユーザーさんが安心して、逆に被害を大きくする可能性もありそうな気が
します。

　一応、個人情報とかお金が絡む情報（カード番号とか）を入力しないといけな
いケースにはSSLは非常に有効だと思うのですが、ソフトウェアのダウンロード
がSSLでないといけないというのは、ちょっと違うと思います。

　ということで、なんとなくそういう「安心です」っていう偽りの宣伝みたいな
ことになるのがいやなので、やっぱやめとこうと思います。

RE:01178 サイトのセキュリティ改善策をご

秀まるお2 さん　14/09/01 11:44

　ちょっと熱くなってしまいましたが…。

> とりあえずは利用規定第５条に基づいて社内イントラに転載して、社内
> ユーザーには「これを使え」とやろうかと考えています。

　とりあえずうちの会社は現状のままにしたいと思うので、必要なソフトはセキ
ュリティの責任者さんが代理でダウンロードして、その代理でダウンロードされ
たファイル以外はインストールできないようにするってのが一番安全でいいんじ
ゃないかと思います。

　ファイヤウォールとかでファイルの拡張子が「.exe」だったらダウンロード出
来ないようにするとか、いろいろやりようはあるんじゃないかと思います。
　（僕はあんまり詳しくないですが）

　一般の人の管理者権限を無しにしてソフトを一切インストールできなくすると
一番安全でしょうが、それは不便なのでしょうね。