2018年6月のセキュリティクラスタは、「Coinhive」と「ルート証明書」に注目が集まりました。自サイトにCoinhiveを設置していた人物が書類送検された後、このような対応に対して警察や検察を非難するツイートが多くありました。もう一つの話題はルート証明書。銀行のWebサイトが行名の切り替えに当たり、ユーザーにルート証明書をインストールさせようとして、こちらもたたかれていました。6月最終週には「ZERO/ONE」編集長の岡本氏が刺殺されるという痛ましい事件が起こり、TLが悲しみに包まれました。
2018年6月8日、三菱東京UFJ銀行から、三菱UFJ銀行へと銀行名が変わるお知らせに注目が集まりました。Webブラウザにエラー画面が表示された際、ユーザーにルート証明書をインストールするよう促していたことが多数の人に知られ、たくさんのツイートがこの対応をたたいていました。
ルート証明書とは証明書の発行元となる認証局が自ら署名した証明書です。この証明書をWebブラウザに組み込むことで、この認証局が発行した証明書を全て信頼するという扱いになります。
通常、認証局のルート証明書は、OSやWebブラウザの配布団体が認証局の信頼を確認した上で組み込んでおり、ユーザーが勝手にインストールすることはありません。Webサイトに促されるまま、信頼できないかもしれない認証局をインストールすることは安全ではありません。その認証局が発行した信頼できないかもしれない証明書を全部信頼することになるからです。こうしてSSLの信頼そのものが損なわれることにつながるため、「あり得ない」「許せない」という非難が集中しました。
本当にエラー画面が表示されて、ルート証明書を自らインストールする羽目になるWebブラウザは、10年以上前のWindows XPや古いバージョンのJavaなどを用いたとても古い環境のみということでした。サポートしなくてもよいような環境のユーザーに気を遣ったあげく、たたかれたという結論でした。
タイムライン(TL)には過去の似たような事例や、銀行名が変わるとルート証明書のインストールが必要になる理屈を知りたいというツイートもありました。
この後、「エラー画面が表示された場合は、社内のシステム管理者の方へご確認いただくか、以下お問い合わせ先へご連絡ください」というようにお知らせの内容が変わり、証明書のインストールを促す文言が消えました。
Copyright © ITmedia, Inc. All Rights Reserved.