不正に取得されたグーグルのサーバー証明書を悪用した「中間者攻撃」が発生し、各社が対応に追われている。
サーバー証明書は、暗号化と認証による安全な通信を行うためのSSL(Secure Sockets Layer)接続で使用される。Webブラウザは、SSL接続の際にサーバーからこの証明書を受け取り、信頼する会社から発行されているか、このサーバーの証明書なのか、有効期限は切れてないかといったことを検証する。問題があると、接続を中断してユーザーに警告するようになっている。
■イランで「中間者攻撃」発生
グーグルのサーバー証明書が第三者の手に渡っているらしいことは、イランのプログラマー、Ali Borhani氏らの投稿によって明らかになった。氏が28日付けでGmailのヘルプフォーラムなどに投稿した内容によると、イラン国内のプロバイダからGmailにログインしようとしたところ、Webブラウザ(Chrome)が証明書の問題を警告したという。
Webブラウザが受け取ったサーバー証明書は、オランダの認証局DigiNotar社が「*.google.com」に対して発行した、今年7月11日(日本時間)から2年間有効なもの。証明書自体は、正規の認証局から発行された正式な証明書なのだが、Webブラウザは警告を出している。つまり、この証明書を入手した何者かが本物のgoogle.com間を中継する偽サイトを設置し、通信の盗聴や改ざんなどを行う中間者攻撃(MITM:Man In The Middle Attack)を仕掛けていた可能性がある。
氏は、プロバイダーかイラン政府が仕掛けた攻撃ではないかと疑っているが、真偽については不明だ。
■認証局への不正アクセスで不正な証明書が発行されていた
証明書を発行したDigiNotar社の親会社VASCOは、30日付でプレスリリースを出し、事情を説明した。それによると、7月19日に認証局のインフラに対する不正アクセスが発覚し、「google.com」を含むいくつかのドメインの証明書が不正に発行されたという。
不正に発行された証明書は全て失効させたはずだったが、最近になって少なくとも1つの不正な証明書が失効されずにいたことが判明した。同社は、オランダのセキュリティ機関GOVCERTからの通報を受け、失効措置をとったとしている。
編集部でDigiNotar社の証明書失効リストを調べたところ、失効は8月30日未明(日本時間)。実に50日間にわたり、不正に取得された証明書が出回っていたことになる。
(2011/09/01 ネットセキュリティニュース)
【関連URL】
・DigiNotar reports security incident[英文](VASCO)
http://www.vasco.com/company/press_room/news_archive/2011/news_diginotar_reports_security_incident.aspx
・An update on attempted man-in-the-middle attacks[英文](Google Online Security Blog)
http://googleonlinesecurity.blogspot.com/2011/08/update-on-attempted-man-in-middle.html