2017年4月24日、東京都主税局が情報流出で停止していた「都税クレジットカードお支払いサイト」を、ドメインを変更して再開したニュースが発表されました。
その報道を受け、セキュリティやドメインに詳しい人の間から、(地方自治体の専用のドメインである).LG.JPドメインを民間企業であるトヨタファイナンスとGMOペイメントゲートウェイに貸していることを問題視するコメントがTwitterなどから数多くあげられています。
「それって何が問題なの?」という点で、実際、一部セキュリティやドメインに詳しい人は理解するのは容易なようでも、一般の方々には少し理解しずらい点も多いようです。
そこで、少し整理してその説明(何が問題だったのか)を書いてみました。
「都税クレジットカードお支払いサイト」は民間企業の事業。
このサイトはトヨタファイナンスとGMOペイメントゲートウェイが運営するサイト。東京都(主税局)が本来、自身でやる業務を民間に業務委託したというものではなく、東京都が公認した指定代理納付者のサイトである、ということを理解していないと誤解を招きます。
指定代理納付者とは、都民に代わって立替払いをする者(民間の業者)。
公認した指定代理納付者に都税を(カードで)払ってくれたら、東京都に払ったことになりますよ、というお墨付きを与えられた業者です。
都税をクレジットカードで集金する業務を委託された下請け業者ではありません。
今回、なぜドメインを変えたのか?
2017年3月10日に情報流出で停止する前のドメインは「https://zei.tokyo/」でした。
「.tokyo」は誰でも取得できるドメインであり、フィッシングサイトの恐れもあるという指摘や意見を取り入れたとニュースにありました。
「.tokyo」は、GMOペイメントゲートウェイの親会社でもバーゲン価格(登録料99円、2017/04/26現在)で普及させようとしているドメインです。
確かに(GMOの宣伝にひと役買ったような)新しいドメインのため、zei.tokyoが、zei.tokyo.jpとかzei.tokyo.netでも違和感があまりないという点では、この馴染みの薄い.TOKYOドメインが原因でフィッシングサイトの恐れありと言う人は少なくなかったのでしょう。
例えば、この立命館大学の上原哲太郎教授のzei.tokyo.jpサイト。
ようこそzei.tokyo.jpへ
(中略)
東京都はそもそも、https://zei.tokyo/ などという簡単に公式かどうか判断できないURLを使うのはやめるべきです。とはいえ使ってしまった以上、https://zei.tokyo/ から公式サイトhttp://www.metro.tokyo.jp/ 内のいずれかのページかhttps://zei.metro.tokyo.jp/ https://tax.tokyo.lg.jp/ など、公式サイトか分かりやすい名前のサイトにリダイレクトするべきでしょう。
ついでに言えば東京都は地域型ドメインからlg.jpドメインに移行するべきです。
(中略)
なお、このドメイン名(zei.tokyo.jp)は東京都にいつでもお譲りします。ご担当の方のご連絡をお待ちしております。
文責:上原哲太郎
このような意見を聞いて、あっさりzei.tokyoをやめ、lg.jpドメインに移行したのだと思います。
まあ、GMOも.tokyoドメインが話題になれば、してやったりというところで(宣伝の)目的は達成できたのでしょう。
ではなぜ、lg.jpドメインに移行したことが問題なのか?
この教授の少しおちゃらけたサイトにも書かれていたのが、再開したサイト
https://zei.metro.tokyo.lg.jp
で使われたドメイン「.lg.jp」。
株式会社日本レジストリサービス(JPRS)のページでは、
地方公共団体と、それらの組織が行う行政サービスが登録できます。LG.JPドメイン名はLG.JP取扱事業者へのお申し込みとなります。
とあります。
つまり、「地方公共団体」が行う「行政サービス」が登録可能ということ。
そうすると、お墨付きを与えた公認サイトとはいえ、そもそもトヨタファイナンスの自社事業のサイトにLG.JPドメインが使われた(東京都が貸した)ということが問題になります。
お墨付きどころか、民間業者の事業なのに地方公共団体の行政サービスと勘違いさせるように思います。
それ(LG.JPの貸与)はある意味、都民に対する偽装であり、行き過ぎた行為にも思えます。
もしトヨタファイナンス以外の(複数ブランドと提携EV認証をもつ)カード会社が「うちも指定代理納付者になりたい」と手を挙げても、たぶん、「複数サイトは不要だし、混乱するのでダメ」とかなんとか難癖をつけて参入させないように思います。
もし、カード会社を追加で参入させるとしたら「LG.JP」も公平に貸与してしかるべきかと思います。
まあ、そんなこと(複数の指定代理納付者を公認)にはならないでしょうけど。
さらにSSL証明書の問題。
SSLサーバ証明書は運営者が東京都となっていて、EV SSL証明書を運営者と異なる外部の一般企業に貸すという点も問題とされます。
SSLの証明書にも種類がありまして、EV SSL証明書というのは、Webサイトを運営している組織の名前が確認できるという意味で、SSLでは最上位の証明書です。
その最上位の証明書で、この「都税クレジットカードお支払いサイト」の証明書で確認できるサイト運営者は「東京都」です。
しかし、サイト運営者であるはずの都が、「運営者はトヨタファイナンスです」と言い切っています。
それってユーザーもSSL証明書発行会社(シマンテック社)をも騙したことにならないのでしょうか?
もし民間がそれをやると問題のように思います。
「だって俺たち、信頼度MAXの東京都だぜ」という話しではありません。
そもそもサーバ証明書を出す企業も、サイトの「特定商取引法に基づく記載」は確認しているはずです。
特商法にも「トヨタファイナンス株式会社」と書かれているのに、SSL証明書発行会社(シマンテック社)がそれに目をつぶって発行したという点も不思議です。
ほか、個人情報保護法の観点でも問題がありそうです。
このような問題をはらむ「都税クレジットカードお支払いサイト」は、どうしたらよかったのでしょうか。
事情を知らない身として勝手な想像で言うならば、やはりドメインで言うなら、,LG.JPドメインではなく、民間が使え、認知度も高いドメイン(.JPなど)にすべきだったはずです。
そしてそのサイトのEV SSL証明書も「トヨタファイナンス」であるべきだったと言えると思います。
逆に「.LG.JP」が必須であれば、公認とか、指定代理納付者とするのではなく、運営主体は東京都主税局とし、トヨタファイナンスは業務委託契約の業者扱いとすべきだったのかも知れません。
(追記)
この類を専門分野とされる方からすれば、ツッコミどころのある記事かと思いますので、私が誤解している点があれば(優しく)ご指摘ください。