• 検索結果がありません。

電子メールにおけるデジタル署名による不正の検出

ドキュメント内 電子メールのセキュリティ 2007年版 (ページ 59-68)

2. 不正とその検出方法

2.2. 電子メールにおけるデジタル署名による不正の検出

51

52 ン(ペンにバツ印)が表示されます。

図 2-11 Mozilla Thunderbirdでのデジタル署名の不正を検出した画面

不正なデジタル署名には、2つのケースが考えられます。

 デジタル署名自体が適切でない

メッセージが改ざんされていることになります。次の(1)が該当します。

 デジタル署名に使われた公開鍵証明書が適切でない

無効な公開鍵証明書を使っているか、信頼できない公開鍵証明書を使っているケースで す。次の(2)、(3)、(4)、(5)、(6) が該当します。

ここでは、Windows の電子メールソフトOutlook Express 6と Outlook 2007を使って、

不正なデジタル署名のパターンとその検出の様子をみてみましょう。

53 (1) メッセージが改ざんされていないか

メールの送信者がデジタル署名した後、第三者によって添付ファイルやメッセージの内容 に変更が加えられると、電子メールソフトは受信したメールの内容とデジタル署名の不整 合を検出し、メール改ざんの警告を表示します。

図 2-12 マイクロソフト Outlook Express でメッセージの改ざんを検出した場合

54

(2) 有効期限内にある証明書でデジタル署名されているか

受信したメールのデジタル署名を検証した時点で、証明書の有効期限の期間内(開始日時 と終了日時の間)でない場合、電子メールソフトはデジタル署名が有効期限内でないこと を警告します。図 2-13のようにOutlook Expressでは「失効している」というメッセー ジですが、証明書が失効しているのではなく、有効期間にないのです。

図 2-13 マイクロソフト Outlook Express で検証時に有効期間にない証明書でのデジタル署名を検証し た結果

55

(3) 署名者の証明書を含む証明書チェーン上の証明書が全て確認できたか

送信者がデジタル署名に使った証明書が、証明書データベースに見つからない、あるいは ルート証明書までの証明書チェーン上の証明書が見つからない場合、図 2-14のように証 明書の確認ができない旨の警告が表示されます。

図 2-14 マイクロソフト Outlook Express で検証に必要な証明書が見つからないため、証明書チェーンを 確認できない場合の画面

56

(4) 送信者メールアドレスと証明書記載のメールアドレスが一致しているか

S/MIMEの仕様では、送信者のメールアドレス(メッセージのヘッダーのFromに記載さ

れているアドレス)と証明書中のメールアドレスが一致するかをチェックします。ふたつ のメールアドレスが相違する場合、図 2-15のようにアドレスの不一致を警告します。

この例では、デジタル署名に使った証明書のメールアドレスが”[email protected]”で あるにもかかわらず、メッセージのヘッダーのFromに記載されたメールアドレス が”[email protected]”となっていたことを通知しています。

図 2-15 マイクロソフト Outlook Express送信者メールアドレスと証明書記載のメールアドレスの相違す る場合の画面

57

(5) デジタル署名に使われた証明書が失効していないか

受信側アプリケーションでは、デジタル署名に使われた証明書が失効していないかを確認 します。これは、証明書のシリアル番号が、CRL(証明書失効リスト)に記載されていな いかをチェックする処理です。

デジタル署名をした送信者の証明書が失効していた場合、証明書を確認すると図 2-16の ように失効が通知されています12

図 2-16 失効している証明書の表示

12 Outlook Expressでは4.4.1.(1)で示すように「デジタルIDが取り消されているかどうかを確認する」

で「オンラインのときのみ」が選択されている場合、署名社の証明書にしめされたCRL-DP(失効リスト の配布場所)にしめされたURLから取得して失効のチェックがされます。

58

(6) X.509鍵使用法に示された用途以外で使わないか

~鍵使用法にdigitalSignatureが含まれているか~

受信側アプリケーションでは、送信者がデジタル署名に使った証明書を使ってデジタル署 名の検証をします。しかし、証明書の鍵使用法にデジタル署名を許可していない場合、デ ジタル署名自体が正しくとも、用途が不正なので、そのデジタル署名は不正なものと判断 されます。

注意:

しかし、Outlook Express 6では、受信したデジタル署名したメッセージの送信者の証明 書の鍵使用法にdigitalSignatureが含まれていない場合でもそのことを通知しません。

ここでは、Outlook 2007での 鍵使用法が不正な場合の警告の画面について図 2-14に示 します。

59

図 2-17 マイクロソフト outlook 2007でデジタル署名に使った証明書の鍵使用法の問題を警告している 画面

60

ドキュメント内 電子メールのセキュリティ 2007年版 (ページ 59-68)
今ダウンロードする "電子メールのセキュリテ..."

Outline

関連したドキュメント