失効リストやブラウザのアップデートで対応

なりすましで認証局にログイン、電子証明書を不正発行

2011/03/24

　SSL電子証明書を発行するコモドは3月23日、侵入を受け、その結果不正に電子証明書を発行したことをブログで明らかにした。同社はその後、これらの証明書を失効させたが、MicrosoftやGoogle、Yahoo!といった9つのサイトが影響を受ける恐れがある。

　電子証明書は、Webブラウザでアクセスしたときに「そのWebサイトが本物である」ことの確認に利用できる。だが、こうした不正な証明書が利用されると、フィッシング詐欺やDNSポイズニングなどで偽のサイトに誘導されても、その真偽を確かめることが困難になる。

　例えば、ユーザー当人はSkypeのサイトにアクセスしているつもりでも、実際には偽のサイトに誘導されており、証明書を使ってもそれを確認できない事態が考えられる。この結果、ユーザーIDやパスワード情報を盗み取られたり、それを使ってWebメールを盗み見られる可能性がある。また、信頼できるサイトと思いこんで、エクステンションのつもりでマルウェアをインストールさせられる恐れもある。

　今回の不正侵入で発行された証明書は、Gmailに利用される「mail.google.com」、Hotmailなどで利用される「login.live.com」のほか、「www.google.com」「login.yahoo.com」「login.skype.com」「addons.mozilla.org」など。すでにコモドはこれらを証明書失効リスト（CRL）に載せている。ただ、情報が伝わるまでに時間がかかる可能性があるため、マイクロソフトではセキュリティアドバイザリ（2524375）を、MozillaもFirefox 3.6.16／3.5.18をリリースし、この問題に対応した。

　攻撃者は、南ヨーロッパのあるパートナーのユーザー名とパスワードを取得し、証明書発行時の審査を行うRA（登録局）にログイン。なりすました状態で、不正に電子証明書を発行させた。コモドによると、今回の攻撃元のIPアドレスはイランのテヘランだという。なお、コモドのルート鍵や中間認証局は侵害を受けていないという。