Apache Struts 2の脆弱性がヤバい、外部からサーバコマンドを実行：セキュリティクラスタ まとめのまとめ 2017年3月版（4/4 ページ）

Symantecの電子証明書がChromeでは信頼されなくなる!?

　3月25日にはSymantecとその傘下の組織が発行する電子証明書を、Googleが無効化するのではないかというニュースがTLで話題になります。全てを無効化するわけでなく、ChromeのEV SSL証明書のEVステータス（アドレスバーに組織名が表示される）が無効化されることと、SSL証明書の有効期限短縮が行われるということです。

　Symantecや傘下の認証局が以前、GoogleをかたったEV SSL証明書を発行したことなど、適切な確認を行わずに証明書を発行していたことがありました。これが是正されていないことが主な原因のようでした。

　これについてTLでは、EVだけが表示されないようにすることは、実際の暗号化に関して変わりないのでGoogleは頭がよいと評価する人がいる一方、普通の証明書よりも高いお金を払ってEV SSL証明書を取得したにもかかわらず普通の証明書として扱われる企業をかわいそうに思うツイートもありました。

　そんなニュースが駆け巡った次の日（3月26日）には早速Chrome 57.0.2987.110へのアップデートが行われました。Symantecが発行したEV SSL証明書は、EV SSL証明書ではなく普通のSSL証明書として取り扱われるようになっていました。

　symantec.comをはじめさまざまなサイトに飛び火し、日本でも三菱東京UFJ銀行など、Symantecの発行したEV SSL証明書を使用していると、組織証明が表示されなくなっていました。

　この件についてSymantecからChromeのバグであるとの発表がありました。Symantecがバグ扱いしてGoogleを責めているのか、それとも純粋にバグなのか、そのどちらも考えられることから、いぶかしく思う方もタイムラインに多く見えました。実はWindows版だけの現象で、今後修正が行われるということ、どうやら本当にバグだったようでした。

　この他にも3月のセキュリティクラスタは次のような話題で盛り上がっていました。4月はどのようなことが起きるのでしょうね。

• 「サイバーコロッセオ×SECCON」大盛況
• WikiLeaksがCIAの機密文書「Vault 7」をリーク
• NextGEN Gallery for WordPressへのSQLインジェクション攻撃が複雑で興味深い
• IIS6.0にリモートコード実行できる永遠のゼロデイ脆弱性が見つかる
• セキュリティに無関心な経営者に投資させるにはどうすればいい？