パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

静岡県警察、「オレオレ証明書の警告が出たら電話で確認せよ」?」記事へのコメント

  • 電話によるDDOS攻撃 (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2006年08月07日 9時12分 (#992264)
    静岡県警は、オレオレ証明書を使っている不届きなサイトに質問電話を殺到させたいんでしょ。
    外部からの圧力があれば修正の予算取れるだろうしー。
  • 電話してみた (スコア:5, 参考になる)

    by Anonymous Coward on 2006年08月07日 10時32分 (#992313)
    だいたいこんな感じになった。

    私:電子申請システムについてお尋ねしたいのですが。
    県:はい、担当者にかわります。
    私:電子申請システムについてお尋ねしているのですが。
    県:はい。
    私:「入り口はこちら」をクリックすると、「偽装しているサイトに接続しようとしています」という警告が出るのですが。
    県:偽装・・・ですか。
    私:ブラウザは Firefox なんですが。
    県:えとー、ブラウザは Internet Explorer と Netscape のみ想定していますので・・・
    私:IE ですか。IE でアクセスしてみると、信頼されないなんとかから発行されていますと警告が出ます。
    県:えとー、そしたらですね、「初めて利用する方は」というメニューが見えますか?
    私:・・・。それは入り口の中に入るとあるのでしょうか?
    県:そうです。中に入っていただいて・・・
    私:でも、偽装しているサイトに接続しようとしていると警告が出ているのですが・・・入れというのですか?
    県:えー、そういう状況は想定していなかったもので。中に入っていただくと、安全な通信のための証明書の組み込みの説明がありますのでそれにしたがって・・・
    私:偽装されていると出ているのに、中に入ってそれをするのですか?
    県:ええ・・・。
    私:そちらでは警告は出ませんか?
    県:こちらでは出ません。
    私:私の見ているサイトは偽サイトなのでしょうか?
    県:うううん、それはわかりませんが・・・。
    私:そうですか。どうも。
    • by Anonymous Coward on 2006年08月07日 12時28分 (#992383)
      県「電子申請システムのお尋ねと聞きましたが?」
      私「はい。『偽装しているサイト』についてです。」
      県「『偽装しているサイト』とは何のことですか?」
      私「オレオレ証明書です。」
      県「え、オレオレ証明書?」
      私「はい。オレオレ証明書です。アクセス全員に自己責任を与えます。」
      県「・・・で、そのオレオレ証明書は当県においてアクセスするうえで何のデメリットがあるとお考えですか?」
      私「はい。第三者が騙って来て欺かれます。」
      県「いや、当県には騙ってくるような輩はいません。それに不正にアクセスを加えるのは犯罪ですよね。」
      私「でも、IPAでも啓蒙してますよ。」
      県「いや、啓蒙とかそういう問題じゃなくてですね・・・」
      私「アクセス全員が危険になるんですよ。」
      県「ふざけないでください。それに危険って何ですか。だいたい・・・」
      私「脆弱性です。間抜けた仕様とも言います。セキュリティポリシーというのは・・・」
      県「聞いてません。帰って下さい。」
      私「あれあれ?怒らせていいんですか?チクリますよ。総務省に。」
      県「いいですよ。連絡して下さい。オレオレ証明書とやらを。それで満足でしたら帰って下さい。」
      私「運がよかったな。今ちょうど17時だ。」
      県「当窓口の時間は終了しました。」
      親コメント
    • Re:電話してみた (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2006年08月07日 14時11分 (#992434)
      私:電子申請システムについてお尋ねしたいのですが。
      県:あなたは、誰ですか?
      私:○○町の△△です。
      県:それを証明できるものはありますか?
      私:いや・・・
      県:あなたが誰なのか証明できませんと、電子申請システムについてお答えできません。
      親コメント
  • by Napper (6812) on 2006年08月07日 9時58分 (#992289)
    「冷静に考えてみよう。電話がかかってきたらどうする?」
    「そりゃ電話に出ますよね」
    「そう、そこには電話対応の人間が必要だ。自動応答のメッセージでは

     県民『なんか警告が出たんで確認したいんだけど』
     職員『はい、それではURLをどうぞ』
     県民『エッチテーテーピーエス、ええと縦に点が二つ、あ、コロンていうの?これ。
        それから斜め棒、へえ、これはスラッシュ?うん、それが二つ。
        それからダブリューダブリューダブリュー…』
     職員『復唱いたします。アクセスしておられるURLはエイチティーティーピーエス
        コロンスラッシュスラッシュダブリューダブリューダブリュー…ですね』
     県民『はい、そうです』
     職員『ご安心ください、これは静岡県電子承認システムの正規なサイトです』

     という血の通ったサービスを提供することは不可能だ。
     つまりこれは電子承認システム導入によって削減される静岡県の職員を
     救済し、さらには県民と県政との距離ができてしまうのを防ぐための人道的
     措置だったんだよ!」
    「な、なんだってー!」
  • by Anonymous Coward on 2006年08月07日 12時39分 (#992397)
    まさかとは思うけど静岡県警察のサイト、NTT系列の会社が作成したって事はないよね

    # こんな単純なビジネスモデルを思いつかなかった自分が悲しいのでAC
  • by Anonymous Coward on 2006年08月07日 9時10分 (#992263)
    静岡県警に逮捕されたときに「やってません」と言い張ればやってないことが証明されるということですよね。

    というか防犯の仕組みを無にするようなことを、こともあろうが警察が触れ回ってるのは、どういうつもりなんだろう。
  • by saitoh (10803) on 2006年08月07日 9時43分 (#992279)
    電話がかかってきて、「正規なサイトであることの確認方法を教えろ」と言われたら、やはり、フィンガープリントを電話口で読み上げるのではないでしょうか。
  • 証明書 (スコア:3, すばらしい洞察)

    by misty_rc (2036) on 2006年08月07日 12時34分 (#992391) 日記
    会社の偉い人:
    「うちは証明書用意したからもう安全。平気だな」

    一般市民:
    「このサイトは証明書があるから安全ね」

    詳しい人:
    「なにこれ、オレオレ証明書じゃん」

    そもそも証明書自体は技術的に見て暗号化されたり
    厳格になってるが、社会的に見た場合に
    これで信頼性が保障されるかというとそんなことは
    あるはず無いわけで。

    証明書があるから安全、という認識だけが社会に
    広まってしまった弊害でしょうかね。
    証明書はその名の通り、サイトと所属する団体の存在を
    証明するだけで信頼性を保障する為の証書では
    ありませんから。
    • Re:証明書 (スコア:2, 参考になる)

      by saitoh (10803) on 2006年08月07日 16時09分 (#992477)
      オレオレじゃない証明書(ブラウザが警告パネルを出さない)があっても、信用できるかどうかはまた別の問題ですね。 ベリサインなどは、会社の登記を確認したりしてるようですが、電子メールの申請だけで証明書を発行する業者もありますよね。そういうのは、組織が実在するかどうか、申請者が本当のそのそ式の人かどうかをチェックしていない訳で。。。
      親コメント
    • by kazzu (18916) on 2006年08月07日 21時13分 (#992663)
      >会社の偉い人:
      >「うちは証明書用意したからもう安全。平気だな」
      →「証明書!?なんだそれ、社印と登記簿だろ」

      >一般市民:
      >「このサイトは証明書があるから安全ね」
      →「証明書!?なんかよく分からんからどうでもいいや」

      が実態かと…
      親コメント
  • by Anonymous Coward on 2006年08月07日 20時47分 (#992649)
    >Googleで「静岡県警察」で検索するとこのサイトが出てくるが。

    ベネズエラ大使館でググる [google.co.jp]と、在ベネズエラ日本大使館が出てくるので、確かに信用できるとは限りませんね。

    これが原因で、かなりの人が勘違いして在ベネズエラ日本大使館にランダエタ応援メッセージが届いた [emb-japan.go.jp]とか。

  • by jammer (22459) on 2006年08月07日 9時55分 (#992286)
    その辺(オレオレ警告等)で「おや?」と思う方々はひっかかりにくく
    ポンポン気にもせずクリックを続ける方々はひっかかり易い

    ところでM$のどこかのページがオレオレだったのはもう直ったのだろうか?
  • で、 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2006年08月07日 10時29分 (#992311)
    静岡県警の言ってることがトンデモなのだとして、
    では実際にオレオレ証明書が出たとき、どのような対応がベストなのでしょう?
    よかったらぜひ、ご教示を。
  • by Anonymous Coward on 2006年08月07日 11時06分 (#992329)
    > 静岡県警察のサイトは「wbs.ne.jp」というドメイン名の
    > サーバにあり、これが本当に静岡県警察のサイトかどうか不明だ

    だからといって、

    shizuoka-kenkei.go.jp とか
    shizuoka-police.go.jp とか
    shizuoka-keisatsu.go.jp とか

    にあればこれが本当に静岡県警察のサイトだ! ってわけでもないですよね?

    ドメインによって信用できるできないをみるのは危険だと思います。

    なお、静岡県のサイト http://www.pref.shizuoka.jp/sosiki/kenkei/ [shizuoka.jp]から静岡県警のサイトに行けます。 http://www.pref.shizuoka.jp/ [shizuoka.jp] が静岡県のサイトかどうかは不明ですがね。


    ちなみに、静岡県民の中では「なぜ http://police.pref.shizuoka.jp/ とかに置かないんだろうね?」とか「Web静岡 http://www.wbs.ne.jp/ [wbs.ne.jp] がわざと wbs.ne.jp に置くようにしむけて宣伝に利用しているんじゃない?」とかよく言ってます。

    • by Anonymous Coward on 2006年08月07日 11時17分 (#992336)
      >shizuoka-kenkei.go.jp とか
      >shizuoka-police.go.jp とか
      >shizuoka-keisatsu.go.jp とか
      >にあればこれが本当に静岡県警察のサイトだ! ってわけでもないですよね?

      DNSがクラックされている危険性は別に考えるとして
      .go.jpというだけである程度の信用はおいてよいかと。

      # もうね、何も信用できないですよ
      親コメント
    • ドメーン自体で判断するのでなしに、ドメーンの現在の所有者で判断すべきでは?
      --
      iida
      親コメント
    • by classic-blue (15284) on 2006年08月07日 12時54分 (#992408)
      > 静岡県警察のサイトは「wbs.ne.jp」というドメイン名の
      > サーバにあり、これが本当に静岡県警察のサイトかどうか不明だ

      こんなセンスないデザインのサイトつくれるの、いまどき、公共系だけだというところで判断できます。

      #じょーだんです(^-^;
      親コメント
    • > にあればこれが本当に静岡県警察のサイトだ! ってわけでもないですよね?

      DNS を信用できるならば、GO.JP ドメインは官公庁、国立の機関、特殊法人であること間違いないと言えます。確かに静岡県警のサイトかどうかは分かりませんが、官公庁が偽装サイトを作る理由はないので、.go.jp となっているサイトについて「○○である」というのを疑う必要はないでしょう。

      # 繰り返しますが、DNS を信用できるならば、ですけどね。

      > http://www.pref.shizuoka.jp/ が静岡県のサイトかどうかは不明ですがね。

      pref.道府県名.jp と metro.tokyo.jp は、都道府県庁を指していることはほぼ断定できます。

      というのも、「都道府県名.jp」は予約アドレスです。「市区町村名.都道府県名.jp」も予約アドレスです。それ以下のレベルは、地域ドメインとして誰でも登録できます。
      という条件から導けることは、hoge.shizuoka.jp は、「ほげ」という名前の(市町村)がない限り、そのドメイン名を登録できるものは静岡県だけであると断定できます。

      以上から、pref.shizuoka.jp は、厳密に言えば県庁ではないかもしれませんが、静岡県の公式のドメインであるということはほぼ断定できます。
      親コメント
      • by taka2 (14791) on 2006年08月07日 12時05分 (#992369) ホームページ 日記
        でも、sizuoka.jp は静岡県のドメインじゃないんですよね。
        普通の汎用JPドメインです。

        汎用JPと地域ドメインは、ぱっと見区別がつかないので、
        pref.県名.jp とか city.市町村名.県名.jp が本当に地方自治体の地域ドメインなのか、それに似せた汎用JPなのか、
        簡単に判断できないと思います。

        概ねヘボン式ですが、たまに変なのがあったような気がするので、ちゃんと確認するには
        都道府県ラベル [jprs.jp]を見て確認しないとダメかな。
        親コメント
        • by Anonymous Coward on 2006年08月07日 13時01分 (#992415)
          中核市までは city.市町村名.県名.jp なのですが、
          政令市になると city.市町村名.jp になってよいはずなのですが、

          先日政令市になった静岡市は、http://www.city.shizuoka.shizuoka.jp/ [shizuoka.jp]からhttp://www.city.shizuoka.jp/ [shizuoka.jp]に変更してますが

          しかし、堺市は、 SAKAI.JP が使えず、
          今度、政令市になる予定の浜松市は HAMAMATSU.JP が使えず

          http://www.city.sakai.jp/ とか
          http://www.city.hamamatsu.jp/ があっても危険だったりします。

          親コメント
      • by Anonymous Coward on 2006年08月07日 12時24分 (#992378)
        > GO.JP ドメインは官公庁、国立の機関、特殊法人であること
        > pref.道府県名.jp と metro.tokyo.jp は、都道府県庁を指していることはほぼ断定

        そのドメインが官公庁、国立の機関、特殊法人、都道府県庁または役所のものであることはドメインからわかります。そして、そのドメインが指しているサイトはそれらのものであることもほぼ正しいでしょう。

        そして、そこにある情報はたぶんそれらのものであるはずです。

        が、しかし、そこに書かれている情報が本当にそれらのものであるかは、電話でもして確認しない限りはわからないです。なので、「ドメインで判断しない」というのは良い考えだと思います。

        っていうのも、Webサイトに掲載する情報管理がずさんです。個人が勝手に書き換えることもできるし、サービスプロバイダーが勝手に書き換えることもできなくはありません。できない仕組みが確立しているところもあるかもしれませんが、できない仕組みがないところもあり必要です。

        配布するための公式資料を印刷するためには上の上まで許可を取ってから印刷していくことが多いのに、Webサイトの情報は直上司さえしらないうちに書き換えていることもあります。
        サービスプロバイダーが勝手に書き換えてはいけませんが勝手に書き換えることができるところもあります。
        サービスプロバイダのサーバーに同居している人が書き換えることができるところもあります。

        > pref.shizuoka.jp は、厳密に言えば県庁ではないかもしれませんが、
        > 静岡県の公式のドメインであるということはほぼ断定できます。

        そうですね。ただ、そこに書かれている情報が静岡県の公式の情報かどうかというとわかりませんね。

        もちろん情報を利用する人は、静岡県の公式の情報だと思って利用しますがね。


        そんなこと言っていたらキリがないですね。すみません。
        親コメント
    • shizuoka-police.comとか、取れるみたいですね。
      静岡県警でググれば上位に行くようにSEO対策すれば…。
      --
      モデレート したいときには 権利なし
      かつかれー
      親コメント
      • by Anonymous Coward on 2006年08月07日 23時02分 (#992725)
        shizuoka-police.jp は静岡県警で取得済み。つかえばいいのにね。
        tokyo-police.jp は、警視庁で取得済み。
        kyoto-police.jp は、京都府警で取得済み。

        全部あるのかと思ったら kanagawa-police.jp とか saitama-police.jp とか osaka-police.jp とかない。

        kanagawa-police.jp とって不正とかされないかな?

        # 公式サイトは web静岡 なのに
        # shizuoka-police.jp はぷららで管理しているんだな。
        親コメント
  • by silphe (8657) on 2006年08月07日 14時36分 (#992439)
    電子政府ってのは役所同士のクローズドな回線のみで成り立つんじゃねえの。一般人がインターネット通じて利用ってのは無理だろ。窓口へ行け!平日しかやってないが、9TO5だが、最もセキュリティの高いウィンドウだろ。
  • 俺IEの設定取り消しチェック有りにしているから、結構引っかかるよ。
    「いいえ」を選択するべきなんだろうか?
  • 証明書 (スコア:1, すばらしい洞察)

    by yamashow (14193) on 2006年08月07日 15時48分 (#992468)
    もうさぁ、証明書を取得・更新する予算がないのか、なんなのかわからないけど、総務省か経産省がルート証明機関になったらいいんでないの。で、それを自治体にばら撒く。

    自治体は「中間証明機関」として法人・個人の証明書を発行する。

    いいと思うんだけどなぁ…。
    民業圧迫ですか?
  • by zenmou (30254) on 2006年08月07日 21時16分 (#992664)
    ping slashdot.jp
    Pinging slashdot.jp [61.215.208.13] with 32 bytes of data:

    電話して「IPは61.215.208.13で合ってますか?」
    じゃ、だめなの?よくわからんけど。

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...