不適切なユーザサポートの例:オクレンジャーとdocomo
今、我が家ではオクレンジャーと言う情報配信システムを利用している。いや、正確に言うと、うちの娘を通わせている小学校がオクレンジャーと言う情報配信システムを使っている。
これは何かと言うと、一昔前で言うところの電話連絡網とか回覧板の代替システムである。メールとインターネット掲示板を利用して、学校から家庭への連絡(特に、休校などの臨時連絡)をしてくれるシステムである。
このシステムを利用していて、ここのところとても気になった不手際があったのでここに備忘しておく。
最初に指摘されたのは、家族から「メールが届いたのだけど、メッセージ本文が読めないので連絡内容が分からない!」というものだった。うちでは(というより、多くの家庭がそうであろうが)携帯電話のメールにオクレンジャーの配信を紐づけてある。で、オクレンジャーから携帯電話にメールが入ったのだが(このメールには、案件の詳細が書かれておらずURLをクリックしてネットからメッセージを読み込む必要がある)、メッセージを読もうとURLをクリックしてもメッセージが開けない、と言うものだった。
最初は、「ん? ケータイの電波の調子でも悪いのかな?」と思い、その電話を受け取って自分でもURLをクリックしてみたのだが、確かにメッセージが読み込めない。画面を見る限り、電波アンテナの状態は特に問題なさそうである。「あれ、なんだこれ?」と思い、何度もURLをクリックしているうちに、『インターネットの接続が中断されました』のメッセージが開く直前に、『SSL通信を開きます…』の画面が一瞬表示されることに気が付いた。
で、「あ、これもしかしてSSLの暗号アルゴリズムが最近刷新されてる影響か?」と思い立った。ここ最近、SSL暗号アルゴリズムがTLSだかに変更されて、某ネット掲示板などがガラケーで見れなくなった、etcの話をなんとなーく聞いた覚えがあるので(ここでの時点ではSSL知識に関してはうろ覚えな訳だが)、その関連のトラブルかと思ったわけだ。
そこで、オクレンジャーから配信されたメールをPCに転送して、PCのブラウザでオクレンジャー掲示板のSSL状況を確認してみよう、と思ってブラウザで開いてみたら、実に意外な状況になっていたのである。なんと、オクレンジャー掲示板のSSL接続は無効になっていた。アドレス上はhttps:://に接続になっているのだが、試しに接続アイコンをクリックしてSSLの通信状況を確認してみると、『運営者:検証され信頼できる運営者情報はありません』『Webサイト user.ocrenger.jpは表示中のページの暗号化をサポートしていません。』と言うメッセージが表示されていたのだ。つまり、SSL暗号化アルゴリズムの問題ではなくて、SSL認証サーバがそもそも存在していない(ルーティングできてない)と言う状態だったのだ。
これは問題だと思い、さっそくオクレンジャーのヘルプにメールを送った。
オクレンジャー お客様サポート 御中
××××にてpasmailを利用しております
○○○○と申します。
××小学校_______________ の父親です。9月中旬以降? 携帯電話でのオクレンジャー連絡が見れなくなっています。
状況としては、
・オクレンジャーに登録してあり、連絡メールは受信しています。
> ××小学校全体宛
> https://user.ocrenger.jp/user/U?c=(以下URL省略)
> 以上URLを選択し情報を確認してください
>
> Please click the above URL to check the information.
>
>
>
> 上記URLで繋がらない場合はこちらのURLを選択してください(非SSL)
> http://user.ocrenger.jp/user/U?c=(以下URL省略)等のメールは受信していますが、が、携帯電話からインターネットに
接続すると接続が強制切断されます。
アンテナ電波の問題ではなく、接続できません。・SSL認証の直後に切断が起こります。
そこでSSLの認証ないし暗号通信方式に問題があると思い、メールをPCに
転送したうえ、ブラウザ(Firefox等)でメッセージを確認したところ、
以下のように問題があることが確認できました。> Webサイトの識別情報
> Webサイト:user.ocrenger.jp
> 運営者:検証され信頼できる運営者情報はありません
> 認証局:なし
>
> 技術情報
> 接続が暗号化されていません
> Webサイト user.ocrenger.jpは表示中のページの暗号化をサポートしていません。
> 暗号化せずにインターネットに送信された情報は他人に傍受される可能性があります。本件問題は、スマホのブラウザならおそらくエラーがあっても閲覧できるが、
携帯電話(いわゆるガラケー)では全ての端末で閲覧ができなくなっていると
思われます。
非常に重篤な障害なので、至急調査の上、障害が起こっていた期間内に
利用した方向けに案内を出すべきかと思われます。以上、簡単にですがご連絡申し上げます。
ご対応をお願いいたします。
すると、翌営業日に返信メールが返ってきたのだが、
ご利用ありがとうございます、オクレンジャーヘルプデスクです。
お問い合わせ頂きありがとうございます。
SSL通信が中断されるとの事ですが、メール本文の上部URLに接続していらっしゃいますでしょうか。
携帯電話(ガラケー)は機種によって新しいSSL(SHA-2)に対応していないため閲覧できない場合がございます。
大変お手数ですが、ガラケーから接続できない場合はメール本文下部に非SSLのURLがございますので、そちらでお試し頂けますでしょうか。
その他ご不明点ございましたら、ご連絡ください。
オクレンジャーヘルプデスク 担当 △△
____-__-____(平日9:00-17:00) ocrenger@______.jp
なんとも気の抜けた内容である。認証サーバ問題、ガン無視である。まあ多分、本文中にもある通りSSLアルゴリズムのバージョン問題もあるのだろう(後述)が、商用サービスが証明サーバも置かずに運用しているなんて、ビックリの話である。そんな「なんちゃってSSL」ならうちのサーバですら無料で設置できるのだが、そう言うのはあくまで個人がリスクを承知の上で利用するものだと思っていた。
…などと書いていたら、本文章執筆中にSSL認証サーバステータスが変わっている。
実は今朝の時点で一度認証サーバが接続され、本文執筆開始時に認証サーバがいなくなり、また文章執筆途中に認証サーバが現れ、…とかなっているようなので、オクレンジャー側で慌てて今認証サーバのテストを(本番環境で)行っているようである。情けない話である。
そもそも、家族から問い合わせられた日付とこの認証サーバの証明書発行日付を見る限り、今年の8月からSSL認証を開始しているようにも見える。なんとも不安の残るサービスである。
今後どうなるかもう少し静観。
[2015.10.01 追記]
オクレンジャーから、改めての回答が届いた。それは技術レベル、質問要素を含め満足できる回答だった(後述)。
ただ一点、疑問が残ったのでそれだけ明記していったん終了。
既にアップロードしたハードキャプチャを見ても同一の現象が起こっているのでますます疑問が深まるのであるが、どうやら僕が指摘した『認証サーバがいない状況』と言うのは、単純にhttps://接続ではなく同じURLにhttp://で接続しているようである(キャプチャのタイトルバーを見ればそうなっている)。つまり、本来https://で接続すべきだったアドレスへhttp://で接続してみていたため、「安全でない接続」になっているように見えた、と言う問題だった。
と言うことは、僕がクリックするアドレスを間違えていた、と言うことになるのだけど、僕が意識して何度もURLをミスクリックしていた、と言うのも奇妙な話で、僕はhttps://をクリックしていたのになぜかhttp://で接続が行われていたように見えるのである。いや、僕が間違えていた、人的ミスだ、と指摘されれば反論のしようもないわけなのだが。どこかに接続を迂回する仕組みがあった可能性も否定できないが、そこまでなんのかんのと言いあっても仕方ないのでここでお話を終了にする。
○○ 様
お世話さまでございます、株式会社パスカル
オクレンジャーヘルプデスク 担当 △△ でございます。(編注:1件目の返信とは別の方)お問い合わせ頂き、誠にありがとうございます。
ご質問内容についてご説明させて頂きます。
> 確かに非SSL通信を利用すればメッセージは見れるようですが、
> ではなんのためにSSLを利用しているのでしょう?
>
> 学校からの連絡内容は時にプライバシーの問題が絡むこともあり
> わざわざ暗号化した回線を使っているのだと思っていましたが
> 暗号化していなくてもメッセージ閲覧OK、SSL通信に証明サーバも
> 置かないという運用は大変疑問が残ります。SSLは○○様の仰る通り、メッセージを暗号化することにより、
セキュリティを高めているものです。従来、オクレンジャーは管理者サイト(メッセージの配信等を行う管理画面)のみ、
SSL対応となっておりましたが、よりセキュリティを高めるため、
ご利用者様の方でもSSL対応とさせて頂きました。ただし、ご利用者様が利用している携帯電話やスマートフォン、パソコンが
全てSSLに対応している訳ではございません。そのことから、この度のオクレンジャー更新にて、
メール本文にSSL対応URLと非SSLのURLを記載させて頂くこととなりました。また、先に頂きましたメールを確認させて頂きました。
SSLと非SSLの接続についてご説明させて頂きます。
パソコンに転送し、ブラウザ(Firefox等)でメッセージの確認をして頂いた際、
> Webサイトの識別情報
> Webサイト:user.ocrenger.jp
> 運営者:検証され信頼できる運営者情報はありません
> 認証局:なし上記のように表示されたとの事ですが、
「認証局なし」はSSLで接続しない場合に表示されます。
※SSL接続している場合は認証局:Symantec Corporationと表示されます。また、「検証され信頼できる運営者情報はありません」は、
EV SSL証明書では無いため表示されます。> 技術情報
> 接続が暗号化されていません
> Webサイト user.ocrenger.jpは表示中のページの暗号化をサポートしていません。
> 暗号化せずにインターネットに送信された情報は他人に傍受される可能性があります。この表記につきましても、SSLで接続しない場合に表示されます。
SSL接続している場合は、
「接続が暗号化されています(TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、鍵長128bit、TLS1.2)
表示中のページはインターネット上に送信される前に暗号化されています。
暗号化によってコンピュータ間の通信の傍受は困難になり、
このページをネットワークで転送中に誰かにその内容を
のぞき見される可能性は低くなります。」と表示されます。尚、SSL証明書はシマンテック(旧ベリサイン)によって証明されておりますので、
安心してご利用して頂ければ幸いでございます。ご質問に対し説明がなかったこと、大変申し訳ございませんでした。
> そんな運用でいいのなら、メールに直接連絡内容本文を載せて
> いただけますか?
> ネットに詳しくない人の中にもお困りの方がたくさんいると思うのですが。オクレンジャーでは、
より確実にメッセージを確認できるようWEB接続方式としております。また、行方不明者捜索など個人情報が掲載される可能性があることや、
万が一誤った情報が配信された場合、WEB接続であればメッセージの取り消しができ、
混乱を最小限に抑えることができることなども、理由の一つでございます。大変恐縮でございますが、ご理解頂ければ幸いでございます。
しかしながら、今回頂いたご意見は貴重なお声として、
今後の検討材料とさせて頂ければと考えております。何かございましたら、お気軽にご連絡ください。
何卒宜しくお願い申し上げます。> オクレンジャー ヘルプデスク 御中
>
> 問い合わせをしました○○です。
>
> 確かに非SSL通信を利用すればメッセージは見れるようですが、
> ではなんのためにSSLを利用しているのでしょう?
>
> 学校からの連絡内容は時にプライバシーの問題が絡むこともあり
> わざわざ暗号化した回線を使っているのだと思っていましたが
> 暗号化していなくてもメッセージ閲覧OK、SSL通信に証明サーバも
> 置かないという運用は大変疑問が残ります。
>
> そんな運用でいいのなら、メールに直接連絡内容本文を載せて
> いただけますか?
> ネットに詳しくない人の中にもお困りの方がたくさんいると思うのですが。
>
>
別記:SSL通信とdocomoガラケーのサポート問題
ところでもう少し記述しておきたいのが、このSSL新暗号アルゴリズムに対応しないdocomo携帯電話ってどうなのよ? と言う話題である。
いやまあ、オクレンジャーの配信問題に気付いたとき、ぶっちゃけウチのケータイはそろそろ10年選手になる古い機種なので、新SSL暗号化アルゴリズムに対応しないのもやむなしなのかな…と思っていたのだが。
docomoのホームページを見ると、ケータイ(と言うよりいわゆるガラケー)とSHA-2(=TLS1.2)の接続保証は、以下のようになっているらしい。
ドコモからのお知らせ : サーバ証明書の切り替えによるドコモ ケータイへの影響について | お知らせ | NTTドコモ
作ろうiモードコンテンツ:SSL | サービス・機能 | NTTドコモ
作ろうiモードコンテンツ:主なスペック | サービス・機能 | NTTドコモ
これらのページから、docomoに端末を供給している各メーカのSHA-2対応状況を列記すると以下のとおりである。
F(富士通)は現時点で一部未対応があるものの、ソフトウェア更新も行うようであり、C世代(2011年モデル)以降は対応。B世代(2010年モデル)はほとんどのモデルで対応。A世代(2009年モデル)以前はすべてのモデルで非対応。
SH(シャープ)はC世代(2011年モデル)以降は対応。B世代(2010年モデル)はほとんどのモデルで非対応。A世代(2009年モデル)以前はすべてのモデルで非対応。
L(LG)はC世代(2011年モデル)までしか発売がないがすべて非対応。
N(NEC)はC世代(2011年モデル)以降は対応。B世代(2010年モデル)はほとんどのモデルで対応。A世代(2009年モデル)以前はすべてのモデルで非対応。
P(パナソニック)はB世代(2010年モデル)以降は対応。A世代(2009年モデル)以前はすべてのモデルで非対応。
X90ni、X70niの世代はすべてのモデルで非対応。
となっており、おおむね2010-2011年以降発売の端末ではSHA-2対応をするし、それ以前の端末ではSHA-2対応をしませんと言う状況のようだ。
このサポートの年月は良心的なのだろうか? それとも端末見捨て過ぎなのだろうか? 人により見解は異なるとは思うが、僕の個人的見解では
を見ると分かる通り、NTTドコモではおおむね新機種発売後6、7年のサポートをするようなので、その範疇の機種は(つまり現時点で少なくともA世代端末までは)サポートをするべきだと思う。
そもそも、SSL暗号化アルゴリズムって予想外で変更になるものではなく、ある程度の期間がたつとアルゴリズムが古くなってセキュリティ的に困り、切り替えが発生するものだしね。