本日の早朝、Comodo という名前の会社から発行された 9 件の偽造デジタル証明書に関するニュースが報道されました。この証明書は、侵害された登録局(RA)から発行されており、申請者は不正に検証されます。Mozilla、Google、Microsoft(大手のブラウザベンダー)は、この証明書が使われないように遮断するためにパッチを公開してアプリケーションを更新しました。先週の時点で、この証明書はすでに失効しています。
簡単に背景を説明すると、ブラウザにはブラックリスト認定された証明書のリストが含まれています。これらは、なんらかの方法で侵害された証明書であり、それを使うユーザーの真正性が検証されなくなります。証明書が侵害されたことが報告されると、ブラウザベンダーがパッチを公開するかブラウザ自体のバージョンを更新するので、このような証明書は検出され、使われないように遮断されます。
更新していないブラウザやパッチ未適用のコンピュータを使用するユーザーは、身元を偽った悪質な Web サイトに誘導される恐れがあります。たとえば、「X 社」の証明書を盗み出せば、任意の場所にサイトをホストし、自身が「X 社」であると騙ることができます。
では、何が問題なのでしょうか。
このインシデントに関わる証明書のリストを調べると、Google、Google Mail、Yahoo!、Microsoft Hotmail/Live Mail、Mozilla アドオンなど人気のある正規のサービスが多数狙われていることがわかります。
最初に考えられることは、この悪用の背後にいる攻撃者がなんらかの方法でメールやその他の通信アカウントのクレデンシャルを取得し、アクセスしようとして考えているということです。Comodo によるこのレポートによれば、攻撃はイランから行われています。同レポートはさらに、この攻撃者が国家の支援を受けている可能性もあると推測しています。この情報については肯定と否定どちらの根拠もありませんが、このインシデントは、今年初めにチュニジアで発生した事例を連想させます。このときも、何者かがユーザーのクレデンシャルを盗み出していると言われていました。当時は、チュニジアのネットワーク境界で検閲フィルタをすり抜けるアドオンを無効化するために、Mozilla アドオンが標的となっていた可能性があります。この話はここまでにします。
エンドユーザーにとって重要なのは、盗み出した証明書を使って正規のサイトを偽造した Web サイトにアクセスしたときに、なんらかの方法で警告を受けることです。証明書を失効させるには、CRL(証明書失効リスト)か OCSP(Online Certificate Status Protocol)の 2 つの方法があります。
このインシデントが実際に国家の支援を受けている場合、失効プロセスはいくつかの手順を踏む必要があります。CRL や OCSP の実効性はネットワーク自体に依存しています。OCSP の場合は、Web サイトで使われる証明書のステータスをチェックするために認証局にクエリーを送信する必要があります。CRL の場合もプロセスは類似しています。CRL の効果が最も高いのは、公開されている最新の CRL がコンピュータでチェックされている場合です。CRL も OCSP も、コンピュータが失効当局にアクセスできることが前提になっています。いずれかの国家の存在がこのような攻撃の背後にあるとすれば、失効リストへのアクセスが遮断されるようにネットワークを改変するのもごく簡単でしょう。これが可能であれば、ユーザーにはアクセスしている Web サイトが偽装されたものであることはわからず、国家が支援する攻撃を受けたユーザーはそのことに気づくことさえありません。
そのため、偽の証明書を提示されてシステムが失効リストにアクセスできないという状態を軽減するために、Mozilla、Google、Microsoft の各社は CRL や OCSP のクエリーを必要とせずにローカルで偽造証明書を検出できるようなアップデートを公開しました。
現時点では、ブラウザを最新バージョンに更新し、Windows コンピュータにはこのパッチをインストールするようにしてください。すべてのオペレーティングシステム、すべてのブラウザが影響を受けます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。