グーグルが所有するドメインに不正な電子証明書

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部

2015-03-25 11:36

 Googleは同社が所有する複数のドメインに不正な電子証明書が発行されていたことを認めた。

 同社のセキュリティエンジニアAdam Langley氏によれば、不正な電子証明書がGoogle所有の複数のドメインに対して発行されていることを同社が認識したのは米国時間3月20日だ。同氏は23日のブログ記事で、それらの証明書はMCS Holdingsと呼ばれる企業が運用する中間認証局が発行したものだと述べている。MCS Holdingsは、China Infternet Network Information Center(CNNIC)の下位で認証局を運用しているエジプト企業だ。

 Langley氏によれば、CNNICはすべての主要なルートストアに含まれているため、「今回の不正な証明書は、ほぼすべてのブラウザとOSで信頼される」という。ただし、「Windows」、「OS X」、Linux、「ChromeOS」の「Chrome」と、「Firefox 33」以降には、Public Key Pinningと呼ばれるフェイルセーフの仕組みがあるため、これらの偽の証明書を受理することはない。

 Googleはこの問題を認識した際に、CNNICと「他の主要なブラウザ」に対してこのセキュリティインシデントについて警告を送り、CRLSetプッシュを使用してChromeで直ちにMCS Holdingsの証明書をブロックしたと述べている。CNNICからは週末に回答があり、「MCS Holdingsとは、同社は自社で登録したドメインにだけ証明書を発行するという契約を結んでいる」と説明されたという。ところが、MCS Holdingsは秘密鍵を適切なハードウェアセキュリティモジュールではなく、中間者攻撃を行うプロキシにインストールしていた。

 このようなプロキシは、トラフィックの宛先を装って暗号化されたトラフィックをインターセプトするもので、仕事中の従業員が無関係なサイトを閲覧していないかを監視するなど、さまざまな形で利用される。しかしこのシナリオでは、認証局のシステムが悪用された。

 企業が暗号化されたトラフィックを監視するためにこの種のプロキシを使用する場合、従業員のコンピュータでそのプロキシを信頼するよう設定する必要がある。ところが今回のケースでは、プロキシに認証局の全権限が与えられていたことになる。

 Googleは、他のウェブサイトもなりすましに遭っている可能性があると述べている。

 Langley氏は次のように書いている。

 「この説明は事実と符合している。しかし、CNNICが不適切な組織に下位機関の権限を委譲していたことも確かだ」

 Mozillaセキュリティブログの別の記事で、Mozillaは次のように述べている。

 「これはFirefoxだけの問題ではないが、われわれのユーザーを守るため、Firefox 37から組み込まれる予定のFirefoxに失効情報を直接送信するMozilla独自のメカニズム『OneCRL』に、この証明書を追加する予定だ」

 Googleはユーザーに対し、この問題が悪用された兆候はなく、Chromeユーザーはパスワードの変更も含めて対策を講じる必要はないと述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]