Tweet

「犯人」が名乗り出たとソフォスが報告

不正な証明書発行の根本原因は「安易なパスワード運用」

2011/03/29

　ソフォスは3月27日、SSL認証局を運営するコモド（Comodo）に侵入して、不正にSSL証明書を発行した犯人が名乗り出たと、同社ブログ上で報告した。犯人は単独犯であり、「Iranian Cyber Army」とは無関係だと主張しているという。

　この事件では、コモドのパートナー企業からIDとパスワードが盗み取られた。犯人はそれを使って同社のRA（登録局）にログインし、「login.skype.com」や「mail.google.com」といったサイトの電子証明書を不正に発行した。

　犯人によると、当初目的としていたのはSSLルート証明書システムのハッキングだったが、その過程で、「GlobalTrust.it」「InstantSSL.it」というパートナー企業のWebサイトの脆弱性に気付いた。これらのパートナー企業では、証明書署名リクエスト（CSR）用にDLLファイル（TrustDLL.dll）を利用していたが、そのファイルの中身を解析することで、処理に用いられているユーザー名とパスワード（暗号化されていないプレーンテキスト）を入手。これを利用してCSRを生成し、コモドの署名付き電子証明書を発行させたという。

　ソフォスは犯人の説明を踏まえ、この事件は「安易なパスワードとパスワード運用に起因する問題」と指摘。幸いにして、今回の事件のインパクトは小さかったが、認証業界全体に対する問題提起だと述べている。また、CSRに応じてルート認証局が直接証明書を発行するという現行のプロセスを改めるべきとも指摘している。