ブラウザだけでなく一部クラウドでもアップデートを
DigiNotarの不正証明書問題、その影響は
2011/09/08
オランダの認証局DigiNotarが不正アクセスを受け、偽のSSL証明書を発行していた問題は、さまざまなところに影響を及ぼしている。
この被害は8月29日に明らかになった。米Googleのメールサービス「Gmail」のユーザーに対する中間者攻撃の動きがあったことを機に、DigiNotarが不正なSSL証明書を発行していたことが発覚。詳しく調査した結果、DigiNotarの認証局インフラが7月19日に不正アクセスを受け、管理者権限でアクセスされて500以上の偽証明書を発行していたことが明らかになってきた。その中には、google.comのほか、skype.com、twitter.com、www.facebook.comや*.windowsupdate.com、*.wordpress.comなど、広く利用されるドメインが含まれている。またDigiNotarの証明書は、オランダ政府でも利用されていた。
SSL証明書は、自分がアクセスしている先が確かに「本物である」ことを確認するために利用される。もし証明書そのものが不正に発行されれば、本物のサイトと不正なサイト、フィッシングサイトなどを見分けることができない。通信を暗号化していても、それが第三者に筒抜けになってしまう可能性があるし、アクセス先を信用して、ユーザーIDやパスワード情報を入力してしまったり、マルウェアをインストールしてしまう恐れがある。
この事態を受け、ブラウザベンダは即座に対策した。DigiNotarの証明書を信頼リストから外し、無効化した新バージョンを相次いでリリースしている。
Googleは8月30日に「Google Chrome 13.0.782.218」を、Mozillaも同日「Firefox 6.0.1/3.6.21」を公開した。またMicrosoftは8月29日に、Windows 7/VistaおよびWindows Server 2008でDigiNotar関連の証明書を失効させた上、9月6日にはその措置をWindows XP SP3とWindows Server 2003 SP2にも拡大し、アップデートを配布している。
影響は、エンドユーザーが利用するブラウザ以外の部分にも及んでいる。例えばAmazon Web Servicesは9月7日、Mozillaのアップデートにともない、証明書情報を更新してDigiNotar関連の証明書を無効化した「AWS SDK for PHP 1.4.2.1」をリリースした。AWSでは早期のアップデートを推奨しており、もし何らかの理由があって更新できない場合は、せめてSDK中の「cacert.pem」ファイルを手動で更新するよう勧めている(https://forums.aws.amazon.com/ann.jspa?annID=1164)。
ボスニア・ヘルツェゴビナ紛争の報復?
9月5日、「ComodoHacker」と名乗る人物が、DigiNotarに対する不正侵入は自分の仕業だとする犯行声明をWebサイト上で公開した。今年3月には、同じくSSL認証局のComodoが不正侵入を受け、偽の電子証明書を発行した事件が発生していたが、これも当人の仕業だという。
ComodoHackerは投稿の中で、名前は挙げないがさらに4つのCA(認証局)についても偽の証明書を発行できる状態にあること、さらにStartCom、GlobalSignの2社についてもアクセスできる状態にあることを述べている。
これを受けて、GMOグローバルサインは9月7日、証明書発行業務を一時的に停止すると発表した(http://jp.globalsign.com/info/important/2011/09/id370)。同社は、「声明の内容から一連の認証局への不正アクセスの実行犯自身による声明である可能性が高いと判断」し、詳細な調査が終わるまで、すべての証明書の発行を停止することにしたという。復旧のめどは未定。なお、いまのところ、不正アクセスによる具体的な被害は見つかっていないという。
一方Symantecはブログ(http://www.symantec.com/connect/blogs/diginotar-ssl-breach-update)の中で、監査の結果、今回の侵害事件から影響は受けていないことを確信したと述べた。VeriSign、Thawte、GeoTrustおよびRapidSSLのルート証明書は安全に保たれているという。
なおComodoHackerを名乗る人物は、投稿の中で、自分は21歳のイラン人であると説明。さらに、今回のDigiNotarへの攻撃は、16年前のボスニア・ヘルツェゴビナ紛争におけるイスラム教徒の虐殺に対する報復であると繰り返し述べている。
関連リンク
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
