HOME»応用情報技術者試験掲示板»令和3年春期午前問45
投稿する
コモンネーム自体はあまり対策にならないのですね...
回答ありがとうございます!
非常に助かりました
令和3年春期午前問45 [5752]
そろそろ受かりたいさん(No.1)
https://www.ap-siken.com/kakomon/03_haru/q45.html
証明書のことで伺いたいことがあります。この問題とは直接的には異なるのですが、わかる方がいらっしゃれば教えていただきたいです。
サーバ証明書にコモンネームが含まれていることによって、フィッシング詐欺対策が可能と学習しました。しかしその手順がわかりません。
正規の手順としては、
①メールに添付されたURLを開く
②WEBページが開かれる
③サーバ証明書をサーバから取得する
結果:
「サーバ証明書のコモンネームとWEBページのドメインから
正規のサーバと判断できる」と思っています。
フィッシング詐欺の場合
①メールに添付された"偽"URLを開く
②"偽"WEBページが開かれる
③サーバ証明書を"偽"サーバから取得する
結果:
"偽"サーバから送られてきたサーバ証明書と、
"偽"WEBページのドメインから
"正規ではない"サーバと判断するのでしょうか。
正直よくわかりません。
お手数おかけしますが、よろしくお願いいたします。
証明書のことで伺いたいことがあります。この問題とは直接的には異なるのですが、わかる方がいらっしゃれば教えていただきたいです。
サーバ証明書にコモンネームが含まれていることによって、フィッシング詐欺対策が可能と学習しました。しかしその手順がわかりません。
正規の手順としては、
①メールに添付されたURLを開く
②WEBページが開かれる
③サーバ証明書をサーバから取得する
結果:
「サーバ証明書のコモンネームとWEBページのドメインから
正規のサーバと判断できる」と思っています。
フィッシング詐欺の場合
①メールに添付された"偽"URLを開く
②"偽"WEBページが開かれる
③サーバ証明書を"偽"サーバから取得する
結果:
"偽"サーバから送られてきたサーバ証明書と、
"偽"WEBページのドメインから
"正規ではない"サーバと判断するのでしょうか。
正直よくわかりません。
お手数おかけしますが、よろしくお願いいたします。
2025.04.05 21:05
サンコウ・ニコウさん(No.2)
CN確認だけで完全に防げないケースもあるので...
2025.04.05 21:35
basyouさん(No.3)
そろそろ受かりたいさん
仰る通りですが、あくまで一致するかを判断するだけです。
ユーザにURL等を誤認させるようなタイプのなりすましは検証できません。
サーバ証明書は、アクセス先のサーバが正当であるかを証明するものですが、
この正当、というのはアクセス先のドメイン(URL)と、証明書に記載されているドメインが一致するか、ということです。
もし"偽"WEBサーバから送られてきたサーバ証明書が"偽"WEBページのドメインのものだった場合は、URLと証明書のドメインが一致するので、サーバ証明書の検証は成功します。
つまり、攻撃者が正規のWEBサイトによく似たドメインを取得し(faceb00k.comとか)、そのドメインのサーバ証明書をクライアントに渡すと証明書の検証は成功するのでブラウザは普通に通信します。
繰り返しになりますが、サーバ証明書は「アクセス先のドメインが正しいか」を検証するものであって、「正規の企業かどうか」とか「詐欺サイトであるか」とかは保証しないということですね。
>「サーバ証明書のコモンネームとWEBページのドメインから正規のサーバと判断できる」と思っています。
仰る通りですが、あくまで一致するかを判断するだけです。
ユーザにURL等を誤認させるようなタイプのなりすましは検証できません。
サーバ証明書は、アクセス先のサーバが正当であるかを証明するものですが、
この正当、というのはアクセス先のドメイン(URL)と、証明書に記載されているドメインが一致するか、ということです。
もし"偽"WEBサーバから送られてきたサーバ証明書が"偽"WEBページのドメインのものだった場合は、URLと証明書のドメインが一致するので、サーバ証明書の検証は成功します。
つまり、攻撃者が正規のWEBサイトによく似たドメインを取得し(faceb00k.comとか)、そのドメインのサーバ証明書をクライアントに渡すと証明書の検証は成功するのでブラウザは普通に通信します。
繰り返しになりますが、サーバ証明書は「アクセス先のドメインが正しいか」を検証するものであって、「正規の企業かどうか」とか「詐欺サイトであるか」とかは保証しないということですね。
2025.04.06 08:08
basyouさん(No.4)
すみません、書き損じてしまいました。
上記のことから、質問者様が仰っている
こちらは誤解を含んだ認識かと思います。
送信元ドメインから詐欺メールをはじく等はフィッシング詐欺対策の1つですが、メールが届いてしまった場合、偽サイトにアクセスすると偽サイトの証明書で検証する(サーバ証明書の検証に成功する)ので、「正規のURLであるかを確認する」等が有効な対策になるかと存じます。
上記のことから、質問者様が仰っている
>サーバ証明書にコモンネームが含まれていることによって、フィッシング詐欺対策が可能と学習しました。
こちらは誤解を含んだ認識かと思います。
送信元ドメインから詐欺メールをはじく等はフィッシング詐欺対策の1つですが、メールが届いてしまった場合、偽サイトにアクセスすると偽サイトの証明書で検証する(サーバ証明書の検証に成功する)ので、「正規のURLであるかを確認する」等が有効な対策になるかと存じます。
2025.04.06 08:40
そろそろ受かりたいさん(No.5)
>「正規のURLであるかを確認する」等が有効な対策になるかと存じます。
コモンネーム自体はあまり対策にならないのですね...
回答ありがとうございます!
非常に助かりました
2025.04.07 11:23