Adobeセキュリティブログ、秘密鍵掲載しちゃった

一般に公開してはならないはずのPGP秘密鍵が、手違いで公開鍵と一緒にAdobeのセキュリティ対策チームブログに掲載された。

[鈴木聖子，ITmedia]

　米Adobeの製品セキュリティ対策チーム（PSIRT）ブログに、メール暗号化に使われるPGPの秘密鍵が手違いで掲載されてしまうハプニングがあった。Adobeが9月25日の声明で確認した。同社は既にこの投稿を削除したものの、Twitterを通じて画面のスクリーンショットが出回っている。

PGP秘密鍵が手違いでブログに掲載されてしまう事故（画面は公開鍵の一部。この下に秘密鍵が掲載されていた）

　PGP（Pretty Good Privacy）はメールの暗号化に使われるプログラムで、公開鍵で暗号化し、受信者が秘密鍵を使って復号する。

　ところが一般に公開してはならないはずの秘密鍵が、公開鍵と一緒にAdobeのPSIRTブログに掲載されているのを、フィンランドのセキュリティ研究者ユホ・ナーミネン（Juho Nurminen）氏が9月22日に発見した。

　ナーミネン氏から連絡を受けてすぐ、Adobeは問題の投稿を削除して、鍵を失効させたという。同氏は鍵が失効されたことを確認して、Adobeのブログに掲載されていた秘密鍵のスクリーンショットをTwitterに掲載した。

　Adobeは9月25日、メディア各社に寄せたコメントで手違いがあったことを認め、「問題のPGP鍵は失効させ、新しい公開鍵と秘密鍵を発行した。問題のPGP鍵は外部のセキュリティ研究者とAdobeセキュリティチームとのメールのやり取り専用に使われていたもので、Adobeの顧客への影響はない」と説明している。

threatpostなどでもこの問題を取り上げた