Googleは同社が所有する複数のドメインに不正な電子証明書が発行されていたことを認めた。
同社のセキュリティエンジニアAdam Langley氏によれば、不正な電子証明書がGoogle所有の複数のドメインに対して発行されていることを同社が認識したのは米国時間3月20日だ。同氏は23日のブログ記事で、それらの証明書はMCS Holdingsと呼ばれる企業が運用する中間認証局が発行したものだと述べている。MCS Holdingsは、China Infternet Network Information Center(CNNIC)の下位で認証局を運用しているエジプト企業だ。
Langley氏によれば、CNNICはすべての主要なルートストアに含まれているため、「今回の不正な証明書は、ほぼすべてのブラウザとOSで信頼される」という。ただし、「Windows」、「OS X」、Linux、「ChromeOS」の「Chrome」と、「Firefox 33」以降には、Public Key Pinningと呼ばれるフェイルセーフの仕組みがあるため、これらの偽の証明書を受理することはない。
Googleはこの問題を認識した際に、CNNICと「他の主要なブラウザ」に対してこのセキュリティインシデントについて警告を送り、CRLSetプッシュを使用してChromeで直ちにMCS Holdingsの証明書をブロックしたと述べている。CNNICからは週末に回答があり、「MCS Holdingsとは、同社は自社で登録したドメインにだけ証明書を発行するという契約を結んでいる」と説明されたという。ところが、MCS Holdingsは秘密鍵を適切なハードウェアセキュリティモジュールではなく、中間者攻撃を行うプロキシにインストールしていた。
このようなプロキシは、トラフィックの宛先を装って暗号化されたトラフィックをインターセプトするもので、仕事中の従業員が無関係なサイトを閲覧していないかを監視するなど、さまざまな形で利用される。しかしこのシナリオでは、認証局のシステムが悪用された。
企業が暗号化されたトラフィックを監視するためにこの種のプロキシを使用する場合、従業員のコンピュータでそのプロキシを信頼するよう設定する必要がある。ところが今回のケースでは、プロキシに認証局の全権限が与えられていたことになる。
Googleは、他のウェブサイトもなりすましに遭っている可能性があると述べている。
Langley氏は次のように書いている。
「この説明は事実と符合している。しかし、CNNICが不適切な組織に下位機関の権限を委譲していたことも確かだ」
Mozillaセキュリティブログの別の記事で、Mozillaは次のように述べている。
「これはFirefoxだけの問題ではないが、われわれのユーザーを守るため、Firefox 37から組み込まれる予定のFirefoxに失効情報を直接送信するMozilla独自のメカニズム『OneCRL』に、この証明書を追加する予定だ」
Googleはユーザーに対し、この問題が悪用された兆候はなく、Chromeユーザーはパスワードの変更も含めて対策を講じる必要はないと述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
