認証局が不正なSSL証明書を発行、Googleユーザーを狙う攻撃が発生

大手SSL認証局からGoogleなどのWebサイト用の不正なSSL証明書が発行された。Googleによると、これを使って同社のサービスとユーザーとの通信に割り込もうとする攻撃が発生しているという。

[鈴木聖子，ITmedia]

　オランダの大手SSL認証局DigiNotarからGoogleなどのWebサイト用の不正なSSL証明書が発行され、これを使ってGoogleサービスとユーザーとの通信に割り込もうとする攻撃が発生している。Google、Firefox、Microsoftなどの主要Webブラウザメーカーは8月30日までに、ユーザー保護のための対策を表明した。

　SSL証明書は、自分がアクセスしているWebサイトが「本物」であることをWebブラウザを通じて確認するために使われる。しかし、この証明書が不正に発行された場合、それを使った詐欺サイトではWebブラウザの警告メッセージが表示されず、ユーザーが本物のWebサイトと信じて入力した情報を盗まれたり、マルウェアに感染させられたりする恐れがある。

　DigiNotarの親会社であるVASCO Data Security Internationalは8月30日に発表したコメントで、7月19日にDigiNotarの認証局インフラに対する不正侵入が発覚し、これにより、「Google.com」を含む多数のドメイン用の証明書が不正に発行されたことを明らかにした。不正に発行された証明書はこれまでに全て失効させる措置を取り、現在は一時的に証明書の発行業務を中止して、第三者機関によるセキュリティ監査を実施しているという。

　Googleは8月29日のブログで、この不正なSSL証明書を使ってGoogleのユーザーに対し中間者攻撃を仕掛けようとする動きがあると伝えた。影響を受けているのは主にイランのユーザーだという。同社のChromeでは不正な証明書を検出できることからユーザーは安全だとしているが、一層の安全を期すために、調査が終了するまでChromeではDigiNotarが発行した証明書を無効にする計画だと表明した。

　Firefoxを提供するMozillaも、間もなくFirefoxの更新版を公開してDigiNotarの証明書を失効させると表明。MicrosoftもVista以降のWindowsで、DigiNotarが発行した証明書を信頼できる証明書の一覧から削除する措置を取ったことを明らかにした。Windows XPとWindows Server 2003向けにもこの問題を解決するための更新プログラムをリリースする予定だとしている。

　SSL証明書をめぐっては、過去にも大手SSL認証局のComodoから大手サイト用の不正なSSL証明書が発行される事件が起きている。こうした証明書を使った攻撃を防ぐために、各社ともユーザーに対し、WebブラウザとOSを最新の状態に保ち、Webブラウザのセキュリティ警告に注意を払うよう呼び掛けている。