9月版 インターネットを支える根幹への指摘相次ぐ


山本洋介山
bogus.jp

2011/10/12

 9月は、現在のWebにおける暗号化通信の基盤となるSSLや認証局に関する脆弱性が話題となりました。

 さらに、日本の国防に関わるいくつもの企業がサイバー攻撃を受けていたことが分かり、絵空事だと思っていたサーバ戦争が現実に起こり得るものだと自覚した人も多かったのではないでしょうか。

 また、新たに発表された都道府県型JPドメインによって新たな問題が引き起こされる危険性が指摘されるなど、今月もさまざまな話題がタイムライン(TL)を駆け巡りました。

SSLを巡る2つの問題が浮上

 Webブラウザによる暗号化通信を行うときに使われるSSLという技術があります。9月はこれに関連した大きな出来事が2つありました。SSLの信頼性が失われると、日常で使うサービスへのログインや買い物などに大きな支障が出ることになります。TLでも心配する人が少なくありませんでした。

SSL問題その1「DigiNotar、グローバルサインなどの認証局が攻撃される」

 SSLとは、ざっくり書くと、それぞれの認証局があるドメインにお墨付きを与え、「信頼された認証局が信頼しているから、このドメインも信頼できるよね」という信頼の連鎖に基づいて信頼性を確保しています。そのため各ブラウザはあらかじめ、信頼できる大本の認証局の情報を持っています。この仕組みの大前提は、「お墨付きを与える認証局自体が信頼できる」ということですが、それが崩れかねない出来事がありました。

 主要なブラウザが信頼していた認証局であるDigiNotarが攻撃を受けて証明書発行システムを乗っ取られてしまい、偽のSSL証明書を発行してしまっていたのです。

 また、日本でよく使われている認証局のグローバルサインも攻撃を受けたとの声明を受け、証明書発行業務を停止する事態となりました(その後、証明書発行業務に関しては侵入されていないことを発表し、9月末に証明書発行業務を再開しました)。ほかにStartCom、NetNamesも攻撃を受けたようです。

一連の認証局ハッキング犯を名乗る人物のブログにおいて、複数の認証局をハッキングしたとの声明がありました。弊社の名前も含まれているため調査を進めております。
Sep 06 via webFavoriteRetweetReply

 TLを見る限り、DigiNotarの発行した証明書を使っている人はいなかったようで、そちらの方はあまり騒ぎにはなりませんでした。しかし、日本の企業が関わっているグローバルサインの方となると、実際に証明書を発行していた人が多かったようです。事件を心配するツイートと早期の業務再開を願うツイートが多数見られました。

 結局、DigiNotarの発行する証明書は信頼できないということになり、新バージョンの各ブラウザでは、DigiNotarが発行した証明書はリストから外されました。最終的にDigiNotarは破産申請してしまう結末となりました。

SSL問題その2「SSL/TLSの暗号化が破られる!?」

 その次に話題となった問題は、SSLで使用されている暗号化通信プロトコルに脆弱性があるというものです。「BEAST」と名付けられたこの攻撃によって、httpsで使われている暗号が破られてしまうという話でした。「すでにPayPalは攻撃可能、詳細は論文を待て!」と発表されたことを機に、TLには、もうSSLはダメなのではないかという不安が広がりました。

 この発表があってから、詳細を記した論文が発表されるまでに数日間あったため、さまざまな噂がTLを流れたのですが、結局のところ、攻撃可能な範囲はごくごく限定的だったようです。また、ブラウザもこの問題に対応したアップデートを行っているようですので、それほど心配しなくてもよかったようですね。

普通のHTTPSには現実的には攻撃できないっぽい。WebSocket限定。という感じで合ってるのかな ビーストタン
Sep 24 via webFavoriteRetweetReply


都道府県型JPドメインでクッキーモンスターの危機再燃!?

 9月26日に、これまで使用されていた「地域型ドメイン名」が、「都道府県型JPドメイン名」というものに生まれ変わることが発表されました。

【関連記事】
JPRSが「都道府県型JPドメイン名」新設へ、登録開始は2012年後半に(@ITNews)

http://www.atmarkit.co.jp/news/201109/26/jprs.html

 「都道府県型JPドメイン名」は、地域型ドメイン名同様の「○○○.tokyo.jp」や「○○○.osaka.jp」のように、その構造に全国47都道府県の名称を含むドメイン名空間です。複数登録ができたり、階層が浅くてすむようになったりと、地域型ドメイン名に比べ、より使い勝手がよくなるように改善されているようです。

 とはいえ、柔軟性があだとなっているのか、ブラウザが利用するCookieに都道府県型JPドメイン名を対応させるのに苦労しそうな雰囲気です。セキュリティ問題についてまったく議論されていないことを含め、TLではちょっとした騒ぎとなっていました。現状のままでは、Cookieが使えないドメインとなる可能性があり、「それじゃ仕事で使えない」とか、「そもそもCookieの仕様がダメなんだよ」とか、それぞれの立場に応じてさまざまな意見があるようです。

今も既に「chiyoda.tokyo.jpとかでCookie食ったらだめだけどmetro.tokyo.jpなら食う必要がある」みたいな複雑なルールですが、*.chiyoda.tokyo.jp ではなく *.tokyo.jp が一般解放されると、このルールも崩れて大変なことに。
Sep 27 via TweenFavoriteRetweetReply

 セキュリティの観点から再燃しそうな問題が、いわゆるクッキーモンスターという脆弱性です。ブラウザにおいて、例えば「bogus.nakano.tokyo.jp」というドメインが「tokyo.jp」ドメイン全体に適用されるようなCookieを発行してしまうという問題です。

 すでに、IEでは地域型ドメインにおけるクッキーモンスター問題が知られていました。しかし、徳丸氏によってOperaの脆弱性が発見されたり、Andoridブラウザでも発見されるなど、問題が再燃しそうな勢いです。

【関連リンク】
都道府県型JPドメイン名の新設に伴うセキュリティとかの話

http://togetter.com/li/193312

三菱重工を含む防衛産業8社に標的型攻撃、日本大丈夫?

 9月19日、三菱重工業が悪意のあるPDFファイルをメール添付ファイルとして送信する手口によって攻撃を受けたことを明らかにしました。感染したPC経由で、内部のサーバやほかの拠点にも感染を広げ、結果として80台以上のサーバやPCが被害に遭ったそうです。

 これだけならばただのマルウェア感染なのですが、問題は、三菱重工業が国防に深く関わる製品を開発する企業だったことです。国防に関連する他の企業7社も同様に攻撃を受けていたことも判明し、一連の攻撃は、明らかに防衛産業を狙った攻撃であることが分かりました。

【関連記事】
防衛産業に的を絞ったターゲット型攻撃、8社が被害に(@ITNews)

http://www.atmarkit.co.jp/news/201109/21/target.html

 これまでは海外からの攻撃といっても、Webサイトに対するDDoSのような攻撃がほとんどでした。今回のように、国防に関連した企業を狙いすました攻撃というのはほとんどなかった(あるいは明らかになっていなかった)ため、TLのみならず、新聞やテレビ、雑誌などでも大きく取り上げられました。これまでは「他の国の出来事」でしかなかったサイバー戦争ということを、真剣に考え始めた人も多かったようです。

 今のところ、実際にマルウェアに感染したのは三菱重工業だけだったというのは不幸中の幸いでした。国防に関する企業は世界中から狙われていることが自明の事実となり、関係の企業担当者は、これまで以上にセキュリティに気を遣うことになりそうですね。

サイバー戦争といって準備を進めている米国に、これで尻を叩かれるのは間違いないか orz
Sep 19 via webFavoriteRetweetReply

日本には情報を渡せない、だって、漏れちゃうんだもん、とか言われ、そして米国製のセキュリティ機器を買わされるハメに orz
Sep 19 via webFavoriteRetweetReply

 なお、このような特定の標的を狙って複数の手段を使う攻撃については、「標的型攻撃」「APT(Advanced Persistent Threats)」「新しいタイプの攻撃」と、いろいろ似たような用語があるようで、どれを使うのが正しいのか議論も続いています。

セキュリティクラスタ、9月の小ネタ

 その他にTLで話題となったのは以下のようなことでした。

  • 「カレログ」、Androidのムックと連動して、やっちゃいけないような使い方が解説されていた模様
  • 「ウイルスバスターイケメンウイルス相談員コンテスト」に脆弱性
  • XSSの主戦がDOMに移ったって本当?
  • Lionに簡単に他人のパスワードハッシュが読めたりリセットできたりするバグが発見される
  • 徳丸本電子書籍化でほかのセキュリティ書籍も追随!?
  • 義憤に駆られて学校のサーバを攻撃しちゃった学生さん、怒られる
  • 愛媛県の電子入札システム、最低制限価格がソースに丸見え
  • 最近はやりの「ザ・インタビューズ」にはCSRF脆弱性
  • プログラミング書籍のサンプルソースの脆弱性、今月も続々見つかる
Profile
山本洋介山
bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

2011年8月版へ    


セキュリティクラスタまとめのまとめ 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間