有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は1月9日、MD5アルゴリズムの衝突耐性の不備を利用した攻撃法により、X.509証明書が偽造されたと発表した。
MD5アルゴリズムは、認証やデジタル署名などで使用されるハッシュ関数(一方向要約関数)のひとつ。送信元と送信先でハッシュ値を比較することで、内容が改ざんされていないかどうかを検出できる。MD5アルゴリズムには、以前から衝突耐性の不備を利用した攻撃法が報告されていたが、今回CAによって、署名されたX.509証明書をもとに中間CA証明書の偽造に成功したことが報告された。
今回の報告によって、MD5の使用形態に応じたさまざまな影響が考えられる。たとえば、偽造されたSSL証明書を用いた悪意あるウェブサイトを信頼することで、情報の漏えいなどが起こる可能性がある。JPCERT/CCでは対策方法として、「MD5アルゴリズムを使用しない」「MD5で署名されている証明書については偽造されている可能性があることに注意する」を挙げている。
ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)
3~4月期の繁忙期こそIT管理体制見直しのチャンス!情シス業務を飛躍的に向上させる秘訣とは
DevOpsチームを悩ます監視ツールの拡散、米トヨタがDatadog導入で得た効果とは
最新のリスクマネジメントのカギは、クラウドを活用したデータ保護・復旧の仕組みにあった!
オンラインゲーム成功の鍵を握るデータベース性能、「 Cloud Spanner 」活用の開発ノウハウ
サイバー侵害の特定から封じ込めの対処期間は平均277日、セキュリティ運用変革の「3つのステップ」
注目している大規模言語モデル(LLM)を教えてください
エンタープライズ・コンピューティングの最前線を配信
ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET
Japanをご覧ください。
