不正SSL証明書の発行事件で「犯人」が手口公表

[鈴木聖子，ITmedia]

　SSL認証局のComodoから大手サイト用の不正なSSL証明書が発行されていた問題で、この攻撃を仕掛けたとする人物が名乗り出て、犯行の手口などを明らかにしたと、セキュリティ企業の英Sophosがブログで伝えた。

　Sophosによると、問題の人物は当初SSLのルート認証システムをハッキングする目的でRSAアルゴリズムを破ろうとしたが、この過程でComodoのパートナーである「GlobalTrust.it」「InstantSSL.it」のハッキングに成功したと称している。

　さらに、InstantSSL.itが証明書署名リクエスト（CSR）提出用のサイトに使っているDLLを見つけ、このDLLを解析する過程で、テキスト形式のユーザー名とパスワードがCSR提出プロセスの一部に使われているのを発見。この問題を突いて任意のCSRを提出し、Comodoに署名させて証明書を発行させることができたとしている。

　GlobalTrust.itとInstantSSL.itのサイトは現在サービスを休止中。問題の人物はイラン人を名乗り、犯行は単独で実行したと主張しているという。

　この人物がハッキングを実行した本人だと証明する術はない。しかし犯行の裏付けとして、暗号化されていないパスワードが保存されていた部分も含め、問題のDLLのコードの一部を公開しているという。

　Sophosではこの問題について、「行き着くところは安全でないパスワードの問題と、パスワードの取り扱い技術の問題だ」と解説する。また、Comodoの証明書発行の方法にも問題があったと述べ、今回の事件は認証業界全体への警鐘といえるかもしれないと指摘した。