不正な証明書はコンテンツ偽装や通信に割り込む中間者攻撃などに利用される恐れがあるとされ、GoogleやMicrosoft、Mozillaは問題の証明書を失効させる措置を講じた。
米Googleは3月23日、複数のGoogleドメイン用に不正なデジタル証明書が発行されていたことが分かり、問題の証明書を失効させたと発表した。不正な証明書はコンテンツ偽装や通信に割り込む中間者攻撃などに利用される恐れがあるとされ、Googleから連絡を受けたMicrosoftやMozillaも同様の措置を講じている。
各社の説明によると、問題の証明書はMCS Holdingsという下位認証局を通じて発行されていた。MCS Holdingsは、信頼できるルート認証局である中国のChina Internet Network Information Center (CNNIC)の下位にある認証局で、CNNICもMCS Holdingsの証明書を失効させる措置を講じたという。
CNNICの証明書は主要ブラウザとOSで信頼できる証明書として認定されていることから、悪用された場合、警告を表示させることなく攻撃者がWebサイトを偽装して正規のサイトに見せかけ、悪質なコンテンツやソフトウェアを仕込んだり、フィッシング詐欺に利用したり、中間者攻撃を仕掛けたりすることが可能になる。ただ、現時点でこの問題が悪用されている形跡は見られないとGoogleは伝えている。
GoogleやMicrosoftはMCS Holdingsの証明書を失効させ、MozillaもFirefox 37で問題の中間証明書を失効させる措置を講じた。
Googleによれば、WindowsとOS XおよびLinuxにインストールされたChromeブラウザと、ChromeOS、Firefox 33以降では、SSL証明書の有効性を検証する「公開鍵ピンニング」の仕組みによって、不正な証明書は通用しないはずだという。
Copyright © ITmedia, Inc. All Rights Reserved.