問題は何なのか?


先日来、このブログで指摘している証明書問題なのですが、キャプチャ画像を利用して解説したいと思います。 ちなみに、現在直接指摘させて頂いている病院は、北海道帯広市にある北斗病院という、比較的大きな病院です。 社内SEが2名いるそうですが、彼等は一体何をしているのでしょうか?
さて、まずはトップページを表示してみます。

ここではドメイン名が「hokuto7.or.jp」となっています。 このドメインをwhoisで確認すると、以下のような情報が得られ、確かに北斗病院のものであることが判ります。

Domain Information: [ドメイン情報]
a. [ドメイン名]    HOKUTO7.OR.JP
e. [そしきめい]    いりょうほうじん しゃだん ほくとびょういん
f. [組織名]    医療法人 社団 北斗病院
g. [Organization]    Hokuto Hospital

トップページには「お見舞いメール」というリンクがあります。 ここが問題のページなのですが、そこのリンクをクリックすると次のような同意画面が出てきます。

ここのドメイン名も「hokuto7.or.jp」となっていますので、確かに北斗病院のサイトにいることを確認できます。 ここで「同意する」をクリックしましょう。 そうすると問題の個人情報入力画面に遷移します。

ここで、鍵マークが表示されて情報が保護されていることが確認できます。 ここまでは問題ないですね。 でも、ドメイン名を見ると「hokuto7.sakura.ne.jp」となっています。 あれ?変わっていますねぇ。 北斗病院のサイトだったはずなのに、違う所に移動しちゃっています。 このドメインをwhoisで確認してみましょう。

a. [ドメイン名]    SAKURA.NE.JP
b. [ねっとわーくさーびすめい]
c. [ネットワークサービス名]    さくらインターネット
d. [Network Service Name]    SAKURA Internet

北斗病院のドメインじゃないですね。 ってことは、個人情報入力画面は北斗病院のサイトには無いことを示しています。 困りました。 個人情報を入力する画面が北斗病院のサイトではないと言うことは、他の人に盗まれてしまう可能性があることを示していると言うことになります。 というか、他の人のサイトの可能性を否定できない状況ですね。 ここでは決して個人情報を入力してはいけません。 何故なら、北斗病院のサイトではないのですから。
でも、鍵マークが表示されているって事は安全なんですよね?と思う人もいらっしゃることでしょう。 ここに大きな穴があります。 鍵マークをクリックするとサーバ証明書というものを見ることが出来ますので、北斗病院のものなのかどうか確認してみましょう。

ここでも表示されているのは「sakura.ne.jp」でした。 と言う事は、北斗病院のサーバ証明書ではありませんねぇ。 北斗病院のサーバではないと言うことを証明してくれています。 ですから、入力したデータは北斗病院に届くことは一切保障されていません。
しかも、「sakura.ne.jp」という文字列の前に「*」が書かれています。 これは「ワイルドカード」というもので、「sakura.ne.jp」というドメインにある全てのサーバが、確かに「sakura.ne.jp」のものであることを証明しています。 と言う事は、「pismo.sakura.ne.jp」であろうが正しいことを証明してくれちゃいます。
もう、お判りですね。 個人情報入力画面は北斗病院のものであるかどうか判らない上に、他人が画面をそっくりそのまままねて作れば、入力した情報が北斗病院以外の第三者に渡ってしまうことを示しているのです。
大変危険ですね。
個人情報を守りたいのならば、確かに個人情報を送って良い所のサイトかどうかを確認しましょう。 そうしないと、気が付かないうちに第三者に個人情報を送ってしまうことになりかねません。 それが悪意をもった第三者ならば、個人情報が大流出する可能性が大きいことを認識すべきでしょう。


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です