シマンテック、誤発行されたデジタル証明書の無効化を実施

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部

2017-01-24 11:32

 Symantecは米国時間1月21日、誤発行された複数のデジタル証明書を無効にしたことを認めた。証明書の無効化措置は、同社にとって今回が初めてではない。

 SSLMateのAndrew Ayer氏は19日、不正使用されているSymantecの証明書を複数発見したと公表した。これらの証明書はexample.comのほかに、test1.comやtest2.com、test.comといったさまざまなtest.com系のドメイン用として発行されていた。

 Ayer氏はアドバイザリに「test4.comとtest8.comを除き、これらのドメインはさまざまなエンティティに対して登録されており、所有者と運営者の双方の点で、お互いにまったく関連がないように見受けられる」と記している。このため、ドメイン所有者が協力しあって証明書を認証したり、ウェブ上でデジタルなアイデンティティを証明したり、ドメインを特定のセキュリティ規約に準拠させようとしている「可能性は低い」ことが示唆されている。

 同氏によると、Symantecは問題のあるtest.com証明書を2016年の10月と11月に発行していたという。

 Symantecの製品マネージャーを務めるSteve Medin氏は21日、これらの証明書が「WebTrustの監査基準を満たすパートナーの1社によって発行された」として、問題の存在を認めた。またSymantecは、調査が完了するまで同パートナーの証明書発行権限を停止することにしたという。

 Medin氏は、「われわれは、(欠格事由が生じた場合に)24時間以内に失効措置を講じるというCA/Bフォーラム(CAブラウザフォーラム)のガイドラインに合わず有効な状態になっていた、今回報告されているすべての証明書を失効させた。これらの証明書それぞれは『O=test』(組織名=test)と設定されていた」と述べるとともに、「調査は継続中だ」と述べている。

 The Registerの記事によると同氏は、このような証明書の誤発行がWebTrustにおいて、どのような経緯で発生したのかを引き続き調査したうえで、「Symantecの解決策と、原因分析、是正措置を、完了した時点で報告する」とも述べている。

 同社が証明書の誤発行によって矢面に立たされるのは、これが初めてではない。2015年にGoogleは、CA/Bフォーラムの基本要件(Baseline Requirements)を満たさなくなった鍵長1024ビットのRSA暗号を使用していたSymantecのルート証明書の1つを「Google Chrome」および「Android」から削除している。

 Googleは現在、同社が信頼していない証明書の発行局と証明書を概説する、Certificate Transparencyと呼ばれるドメインを運用している。


提供:Symantec

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]