2011年11月25日(金)記
総務省 電波利用 電子申請・届出システム Lite で使用する "安全な通信を行うための証明書" の拡張子が説明書と異なる拡張子でダウンロードされる問題について2年以上放置されていましたが、総務省はやっと重い腰を上げて説明書の改修を行うそうです。
左は、総務省電気通信基盤局 電波部 電波利用企画室からの文書です。画像をクリックすると別ページで拡大します。
改修に2年以上かかったその理由は、"「政府認証基盤(GPKI)」に改善を求めていたが、その進捗確認が未了のまま今日に至った" そうです。即ち、これ怠慢。
アマチュア無線局の電波利用に関する申請・届出をインターネットで行うシステムとして、総務省 電波利用電子申請・届け出システム Lite があります。
このシステムを利用するには、事前に、「政府認証基盤(GPKI)」からアプリケーション認証局の自己署名証明書(安全な通信を行うための証明書)をダウンロード後、これをインポートする必要があります。
手順に従って、「政府認証基盤(GPKI)」からアプリケーション認証局の自己署名証明書(安全な通信を行うための証明書)をダウンロードしようとするのですが、Internet Explorer(IE)では、ファイルの拡張子が説明書にある .der ではなく、なぜか .cer としてダウンロードされてしまいます。(左の画像は、2011年11月25日現在のものでです。)
しかし、説明書では入手した証明書の確認方法としてダウンロードしたファイルをダブルクリックするとした上で、ファイル名は「APCAroot.der」です。と、拡張子も .der であると念を押しています。(説明書は、2011年12月22日~23日のメンテナンスで改修されるそうです。)
これでは、ほんのわずかでもセキュリティについて聞きかじった事のある人ならば、恐ろしくてダブルクリックなど、とても、とても出来そうにない事態となります。
なぜなら、"ファイルのダブルクリック = プログラム実行 = 拡張子が異なる = 偽サイトへの誘導 = ウィルス感染 = とんでもない" と言った図式がたちまち浮かび上がるからです。
セキュリティ対策の基本は、不審なファイルは実行(ダブルクリック)してはならない。と、されています。
ダウンロードされたファイルの拡張子が説明書と異なるのであれば、これは不審なファイルと言わざるを得ません。
こんな状況を2年以上も放置していた総務省が、やっと重い腰を上げてホームページの改修に取り組んでくださることは、とてもありがたい事と喜ばしい次第ではあります。
しかし、当初、証明書は、「政府認証基盤(GPKI)」がやっている事なので勝手にホームページの説明を書き換えることはできない。と、言った電波利用 電子申請・届出システム ヘルプデスクの方。
問い合わせに、証明書のフィンガープリントは、官報(平成20年2月25日第4774号)に掲載されていると官報の写しをご丁重にも送付頂いた、「政府認証基盤(GPKI)」のご担当者の方。
ファイルのダブルクリック = プログラム実行 と言う行為がどのような危険をはらんでいるのかを今一度認識頂きたいと考えます。
総務省ってセキュリティ対策の元締めではなかったのですか?
日本のセキュリティ事情はまだ夜明け前、そんな気がします
本日、ヘルプデスクから電話があり、予定より前倒しして10日~11日のメンテナンスで画面を修正した。との事です。
問題のページの画像と本文の拡張子も、.cer に変更され、さらに、下記のような文言も追加されていました。
※リンク先のファイルは「APCAroot.der」ですが、保存する際には「APCAroot.cer」となります。これは、マイクロソフト社のInternet Explorerの仕様によるものでありますが、セキュリティ上使用しても問題ないことを確認しています。