SSL認証局のStartSSが何者かに攻撃され、証明書の発行を中止したと、米セキュリティ機関のSANS Internet Storm Centerが6月21日のブログで伝えた。
StartSSはイスラエルのStartComが運営するSSL認証局。「6月15日に発生したセキュリティ侵害事件により、デジタル証明書の発行と関連サービスを中止しています」とする告知をWebサイトに掲載した。
報道によると、StartSSの証明書はInternet Explorer(IE)、Google Chrome、Mozilla Firefoxなどの主要なWebブラウザがサポートしている。しかしStartSSの告知によれば、今回の問題によって有効な証明書の利用者や保持者、および有効な証明書を使ったWebサイトのユーザーなどが影響を受けることはないといい、不正な証明書が発行される事態にはなっていないとみられる。
SSL認証局を狙った攻撃では、3月に大手SSL認証局Comodo Groupのアフィリエートがアカウントに侵入され、不正なSSL証明書が発行される事件が起きた。この時には各ブラウザが問題の証明書を無効にするなどの対応に追われている。
関連記事
- 不正SSL証明書の発行事件で「犯人」が手口公表
SSL認証局Comodoに対するハッキング攻撃を仕掛けたとする人物が名乗り出て、犯行の手口などを明らかにしたという。 - SSL認証局が偽の証明書を発行、大手サイトに影響の恐れ
SSL認証局のComodoから偽のSSL証明書が発行され、Microsoft、Google、Yahoo!など大手各社のWebサイトが影響を受ける恐れがある。攻撃を防ぐためにWindowsやFirefoxのアップデートが公開された。 - SSL証明書の偽造に成功、ハッシュ関数の脆弱性を応用
US-CERTや米Microsoftは、MD5はもはや安全ではないと指摘して利用中止を促している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.