不正証明書発行の認証局、セキュリティ対策の実態は？ オランダ政府が中間報告書

[鈴木聖子，ITmedia]

（不正証明書発行事件の記事一覧はこちら）

　サイバー攻撃を受けて不正なSSL証明書を発行していた認証局のDigiNotarに対し、オランダ政府が実施した監査の中間報告書がまとまった。

　報告書は監査責任者を務めるセキュリティ企業のFox-ITの最高経営責任者（CEO）がまとめたもので、オランダ政府が公表した。米セキュリティ機関のSANS Internet Storm Centeが9月6日にWebサイトで概略を紹介した。

　それによると、監査の結果、DigiNotarが運営している複数の認証局のサーバが全てハッキングされ、管理者権限でアクセスされていたことが判明。中にはログ記録が一部抹消されていた認証局もあり、どのような証明書が発行されたかをDigiNotarが把握できない原因になっていた。

　「google.com」用の不正証明書は、8月4日からこの証明書が失効する29日までの間に、30万のIPアドレスで利用されていたことが判明した。このうち99％以上がイランのIPアドレスだったという。この証明書を使ってGmailへのアクセスを乗っ取られたユーザーは、認証用cookieやメールの中身を盗み見された恐れがあるとしている。

　DigiNotarのセキュリティ対策に不備があった点も列挙された。基本的なベストプラクティスが機能していなかったり、実装に不備があったり、省略されたりしていたという。2009年に改ざんされたWebページが8月下旬の時点で残っていた問題については、同社が8月にWebサーバを再インストールした際にコピーされた可能性が大きいとしている。

　英語版の報告書は、SANSのWebサイトに掲載されたリンクから入手できる。

編注：リンク先はPDFファイルです。