オランダの認証局デジノター(DigiNotar)の不正SSL証明書発行事件が、大きな波紋を呼んでいる。セキュリティベンダーをはじめ、あちこちで話題として取り上げられている。

 ロシアのカスペルスキーラボもブログで、この事件について振り返った。オランダ政府はデジノターの信用を取り消すことを発表している。

 デジノターは基本的に二つの部門で構成されていた。一つは通常の業務を行う認証局、もう一つは政府関連に特化した「PKIoverheid」という部門だった。デジノターのシステムを監査した結果、PKIoverheidの権限の完全性は保証できなかった。つまり、完全性は侵害されていると考えられる。

 8月末にオランダ政府はPKIoverheidの信用性を断言していた。このためブラウザーベンダーはPKIoverheidではない部門だけをブラックリストに移したが、次回はそう簡単には信用しないだろう。

 デジノターへの攻撃は、精巧さではマルウエア「Stuxnet」の相手にはならないが、攻撃が引き起こした重大性はStuxnetをはるかに上回る。今回のデジノターへの攻撃によって、西欧諸国の政府は、サイバー戦争を政治課題のトップか、それに次ぐ順位に挙げるようになるだろう。

 デジノターは当初、発行した不正SSL証明書は「20件余り」と報告していたが、結局は531件に上た。それには、米中央情報局(CIA)といった機密機関のWebサイトのドメインも含まれる。しかしCIAサイトを傍受することで取得できる機密情報はないため、正確な動機は不明だ。

 「Windows Update」サイトの不正証明書も発行された。これについてカスペルスキーラボは、Windows Updateでは米マイクロソフトが電子署名したプログラムだけを稼働させるので不正証明書が必要になり、不正証明書があれば、SSLサイトを設置するだけでなく、コードに署名することも可能になるためだと解釈している。

 「*.google.com」の証明書もコード署名に有効だ。これは、攻撃がブラウザーの域にとどまらないことを意味している。不正証明書は、ブラウザー内だけでなくOS全体で遮断することが重要だ。

 デジノターの通常の認証部門が攻撃されているあいだ、PKIoverheid部門も攻撃を受けたかどうかは明らかになっていない。500あまりの不正証明書のうち、PKIoverheidが署名したものは一つもなかった。

 オランダ政府のITインフラが受けたダメージはかなり重大だ。多くのサービスがもはや利用できなくなった。事実上、情報伝達は遮断され、攻撃はサイバー戦争の一環だと主張する人もいる。

 オランダ政府は公式な捜査を開始し、イラン政府の関与を調べているが、現時点ではそれはまったくの憶測にすぎない。しかしカスペルスキーラボは、政府が関連した行為というのがもっともらしい筋書きだと見ている。

 デジノターが信用失効の措置を受けた主な理由は、同社がセキュリティ侵害を隠していたためだとカスペルスキーラボは指摘する。しかし世界には500以上の認証局があり、デジノターだけが侵入を受けたとは信じがたい。デジノターに対する措置は、どのような侵入も公表するべきだという認証局への強いメッセージになる。

DNSハッキング攻撃で多数の有名サイトに被害

 別の攻撃では、世界の著名なWebサイトが相次いで狙われる事件もあった。英ソフォスがブログで紹介した。

 ソフォスは、DNSサーバー乗っ取りにより、ITニュースサイト「Register」、英紙「Daily Telegraph」など有名なWebサイトの訪問者が第三者のWebページにリダイレクトされた事件についてブログで説明した。このDNSハッキングでは、米誌「National Geographic」やオンラインカジノ「BetFair」、米UPS、英ボーダフォン、台湾エイサーなどのWebサイトも影響を受けた。

 リダイレクトされたRegisterサイトの訪問者は以下の画面に遭遇した。

リダイレクト先のスクリーンショット

<img src="http://sophosnews.files.wordpress.com/2011/09/register.jpg?w=640" width="500")

 画面には、英語とトルコ語が混在した以下のメッセージが表示されている。

TurkGuvengligi
"Gel Babana"
HACKED
"h4ck1n9 is not a cr1m3"
"4 Sept. We TurkGuvenligi declare this day as World Hackers Day - Have fun ;) h4ck y0u"

 重要なポイントは、これらWebサイト自体はハッキングされていないということだ。しかし、サイト訪問者にとって、ハッカーが制御するWebページに誘導されるという体験にほとんど違いはない。

 攻撃者は、Webサイトそのものを乗っ取る代わりに、さまざまなWebサイトに影響を与えるDNSの記録を変更しようとした。電話帳のような働きをするDNSの記録を改ざんすれば、参照する索引が変わってしまい、正しいURLを入力しても本来のサイトにはつながらない。