MD5アルゴリズムへの攻撃で、証明書の偽造が可能に--JPCERT/CCが注意喚起

吉澤亨史 2009年01月09日 20時05分

  • このエントリーをはてなブックマークに追加

 有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は1月9日、MD5アルゴリズムの衝突耐性の不備を利用した攻撃法により、X.509証明書が偽造されたと発表した。

 MD5アルゴリズムは、認証やデジタル署名などで使用されるハッシュ関数(一方向要約関数)のひとつ。送信元と送信先でハッシュ値を比較することで、内容が改ざんされていないかどうかを検出できる。MD5アルゴリズムには、以前から衝突耐性の不備を利用した攻撃法が報告されていたが、今回CAによって、署名されたX.509証明書をもとに中間CA証明書の偽造に成功したことが報告された。

 今回の報告によって、MD5の使用形態に応じたさまざまな影響が考えられる。たとえば、偽造されたSSL証明書を用いた悪意あるウェブサイトを信頼することで、情報の漏えいなどが起こる可能性がある。JPCERT/CCでは対策方法として、「MD5アルゴリズムを使用しない」「MD5で署名されている証明書については偽造されている可能性があることに注意する」を挙げている。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!