Macos Brawte nfaq 0 Comments

DVLAは運転免許証発行サイトがセキュリティ上の「事故」であることを否定

Table of Contents

DVLAは運転免許証発行サイトがセキュリティ上の「事故」であることを否定

英国政府機関は、運転免許申請の処理にかかわるウェブサイトが安全ではなく、目的に適していないというセキュリティ専門家からの苦情に異議を唱えた。

匿名を希望した読者のアンディ氏は、英国の運転免許証の更新処理に携わる運転免許庁のウェブサイト https://motoring.direct.gov.uk に「恥ずべきウェブサーバー構成」があると警告した。

本質的には、サイトのHTTPS証明書とトラフィック暗号化のためのサーバー設定、ひいてはインターネット経由で送信される個人情報の暗号化が期待を下回っています。この脆弱性は、ネットワークを覗き見する者によって英国人の機密情報が盗み見られることに悪用される可能性があります。

「このウェブサイトは、ほぼすべての公的身分証明書カード番号(もちろん、Government Gateway IDの申請時も)を扱っており、運転免許証の更新もオンラインで行えます」と、CISSP資格を持つ情報セキュリティマネージャーのアンディ氏は述べた。「なぜまだ彼らがこれに気付いていないのか、神のみぞ知る。Firefoxでさえ、例外を設定しない限り接続を許可しないのですから。」

govゲートウェイ経由の運転免許証更新サイト

運転免許証の更新

現状では、Internet Explorer と Chrome ブラウザではネットユーザーがサイトに接続できるが、Firefox では DVLA サイトの SSL/TLS セキュリティ証明書チェーンが不完全であるため、警告を無視して接続できない。

DVLAサイトアクセス警告

DVLAサイトアクセスセキュリティ警告

「運転免許証の更新を申請する必要がある人は、結局そこに行き着くんです。パートナーがまさに同じことをしているのを手伝っていた時に、この混乱に遭遇したんです」とアンディは付け加えた。

レジスター紙は、ウェブセキュリティ専門家のポール・ムーア氏をDVLAのサイト視察に招いた。ムーア氏は視察中に発見した事実に、嫌悪感に近いほどの失望を表明した。

ムーア氏はツイッターで次のように不満を述べた。「安全でない暗号、証明書が正しくインストールされていない、セキュリティ ヘッダーがまったくない、PCI に準拠していない!」

El Regからの問い合わせに対し、DVLA は、ウェブサイトが安全な通信に関する業界のベストプラクティスに従っていなかったという非難を否定する声明を発表しました。

SSL Labsによる同サイトの評価は、前日まで不合格(F)だったものの、2月6日火曜日には「B」に改善された。ウェブセキュリティ専門家は依然としてこの評価に満足しておらず、改善の余地があると主張している。

「証明書はまだ正しくインストールされておらず、セキュリティ ヘッダーもまだありません」とムーア氏はEl Regに語った。

私たちの情報提供者であるアンディ氏もこの点に同意し、木曜日の午後遅くの時点ではFirefoxでもSamsung S7ブラウザでもサイトにアクセスできなかったと付け加えた。

「(DVLAの)定型的な回答は、事実上一部正しいものの、要点を見逃しているように思われます」と彼は述べた。「証明書自体は業界標準を満たしています。しかし、彼らのサーバーにおける証明書の設定はそうではありません。欠落している証明書チェーンは依然としてQualys SSLで報告されています。そのため、FirefoxとS7ブラウザは接続を拒否しています。」

「URLのセキュリティ確保に、業界で認められているベストプラクティスの手法を採用しているという意見には同意できません。もしそうであれば、Qualysは、RC4や3DESといった安全でない暗号スイートがサーバー設定で依然として有効になっているという理由でF評価を与えることはなかったでしょう。運用開始前の強化手順の一環として、これらの暗号スイートを削除すべきでした。」

アンディは、最近いくつかの改善が行われたにもかかわらず、サイトにはまだ問題があると結論付けました。「DVLAは、以前販売していた非常に安全性が低く脆弱な暗号について何らかの対策を講じたに違いありません。Qualysは、週末に報告したFではなく、本日現在Bという評価を報告しています。」

「良くなりましたが、証明書チェーンの問題はまだ残っていますし、TLS1.2 の暗号もまだ弱いですし、いずれにしても安全ではないので、早く TLS1.0 をオフにしてほしいと思います。6 月 30 日には PCI-DSS 1非準拠になります!」

DVLA SSL サーバーテスト結果

DVLAサイトのSSL Labs評価が向上

安全でない暗号(おそらく古いブラウザとの互換性を確保するために有効になっている)は廃止されましたが、それでも問題は依然として残っており、サイトのセキュリティ headers.io グレードは最低レベルのままです。

DVLAサイトのセキュリティヘッダー監査

DVLAサイトのセキュリティヘッダー監査

セキュリティ headers.io プロジェクトの研究者、スコット・ヘルム氏は、彼のサービスによって DVLA サイトが F グレードを獲得したことは、改善の必要性を示していると述べた。

「F評価だからといって、すぐに悪用される可能性のある脆弱性があるわけではありませんが、ユーザーを守るための基本的な予防措置が講じられていないのです」とヘルメ氏はエル・レグ紙に語った。「ここで基本的な対策が講じられていないのであれば、私たちが目に見えないところで、他にどこが対策が講じられていないというのでしょうか?」

「ここでの調査結果の実際的な影響は壊滅的ではないかもしれませんが、これらのツールは、組織がどのようにセキュリティに対処しているかについて優れた洞察を与えてくれます。」®

ブートノート

1 PCI-DSSはクレジットカード業界のセキュリティ基準です。クレジットカード決済を扱うすべての企業は、この要件を遵守する義務があります。

Macos

Smart Recommendations

Discover More