仮想通貨「Coinhive」をどう考えればよいのかセキュリティクラスタ まとめのまとめ 2018年6月版(1/3 ページ)

2018年6月のセキュリティクラスタは、「Coinhive」と「ルート証明書」に注目が集まりました。自サイトにCoinhiveを設置していた人物が書類送検された後、このような対応に対して警察や検察を非難するツイートが多くありました。もう一つの話題はルート証明書。銀行のWebサイトが行名の切り替えに当たり、ユーザーにルート証明書をインストールさせようとして、こちらもたたかれていました。6月最終週には「ZERO/ONE」編集長の岡本氏が刺殺されるという痛ましい事件が起こり、TLが悲しみに包まれました。

» 2018年07月10日 05時00分 公開
「セキュリティクラスタ まとめのまとめ」のインデックス

セキュリティクラスタ まとめのまとめ 一覧

銀行名が変わるとルート証明書を自分でインストールする必要がある!?

 2018年6月8日、三菱東京UFJ銀行から、三菱UFJ銀行へと銀行名が変わるお知らせに注目が集まりました。Webブラウザにエラー画面が表示された際、ユーザーにルート証明書をインストールするよう促していたことが多数の人に知られ、たくさんのツイートがこの対応をたたいていました。

 ルート証明書とは証明書の発行元となる認証局が自ら署名した証明書です。この証明書をWebブラウザに組み込むことで、この認証局が発行した証明書を全て信頼するという扱いになります。

 通常、認証局のルート証明書は、OSやWebブラウザの配布団体が認証局の信頼を確認した上で組み込んでおり、ユーザーが勝手にインストールすることはありません。Webサイトに促されるまま、信頼できないかもしれない認証局をインストールすることは安全ではありません。その認証局が発行した信頼できないかもしれない証明書を全部信頼することになるからです。こうしてSSLの信頼そのものが損なわれることにつながるため、「あり得ない」「許せない」という非難が集中しました。

 本当にエラー画面が表示されて、ルート証明書を自らインストールする羽目になるWebブラウザは、10年以上前のWindows XPや古いバージョンのJavaなどを用いたとても古い環境のみということでした。サポートしなくてもよいような環境のユーザーに気を遣ったあげく、たたかれたという結論でした。

 タイムライン(TL)には過去の似たような事例や、銀行名が変わるとルート証明書のインストールが必要になる理屈を知りたいというツイートもありました。

 この後、「エラー画面が表示された場合は、社内のシステム管理者の方へご確認いただくか、以下お問い合わせ先へご連絡ください」というようにお知らせの内容が変わり、証明書のインストールを促す文言が消えました。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。