Symantecの証明書発行に不手際、Googleが対応を要求
Symantecが要求に応じなければ、Google製品でSymantecの証明書が安全とみなされなくなる可能性もあると警告している。
米Symantecの認証局が手違いにより、「google.com」などのドメイン向けのテスト証明書をドメイン所有者が知らないうちに発行していたことが分かり、米Googleは10月28日、同社に対して対応を要求した。Symantecの対応次第では、Google製品でSymantecの証明書が安全とみなされなくなる可能性もあると警告している。
Symantecが10月2日に発表したインシデント報告書で、GoogleやOperaなど5組織向けのテスト証明書23件がドメイン所有者の知らないうちに発行されていたと報告した。これに対してGoogleは、不審な証明書はそれ以外にも存在すると指摘。その後、Symantecは10月12日に出した更新版の報告書で、さらに76ドメイン向けの証明書164件と、未登録ドメイン向けの証明書2458件が見つかったと発表した。
GoogleはこうしたSymantecの対応について、「認証局がこれほど問題を長引かせ、警告を受けて監査を実施した後も影響の及ぶ範囲を把握できないのは懸念すべき状況だ」と批判。Symantecが発行する全証明書に対し、2016年6月1日を期限として、不正な証明書の早期発見の仕組みである「Certificate Transparency」のサポートを義務付けるとした。
この期限以降、Symantecが新規に発行した証明書でCertificate Transparencyポリシーに準拠していないものは、Webブラウザ「Chrome」などのGoogle製品で、安全とみなされないなどの問題が生じる可能性があると通告している。
Symantecに対しては、問題のある証明書を検出できなかった理由と、サーバ証明書発行に関する基本要件やEVガイドラインを守れなかった経緯について詳しい説明を要求。さらに、それぞれの問題に対する再発防止策と、その対策を講じる期限についてもGoogleに説明するよう求め、「追加情報を入手した場合はさらなる対応を取る可能性もある」と警告した。
関連記事
- 「ウイルス対策ソフト死亡」発言 本人に理由を聞いてみた
セキュリティの基本といえる対策の実態に触れたIT業界を驚かせ、今もしばし話題になるこの発言の意図は何だったのだろうか。 - 「ウイルス対策ソフトは死んだ」発言の真意は?
Symantec幹部が発言したという衝撃的なコメントに、競合各社も反応した。そこにはどんな意味が込められているのだろうか。 - 「ウイルス対策は命が尽きた」 Symantecが重点シフト
ウイルス対策製品による攻撃の防止から、APT攻撃(執拗なサイバー攻撃)に対抗するための検出・対応へと重点をシフトする。 - IEの脆弱性攻撃発生、日本のユーザーに影響集中
Microsoftが8月の月例パッチで対処したInternet Explorerの脆弱性を悪用する「水飲み場型攻撃」が確認された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.