グーグルのSSL証明書が不正発行される----不正SSL証明書問題に注意

 米VASCOデータ・セキュリティ・インターナショナル(VASCO)は8月30日(米国時間)、オランダ子会社の大手SSL認証局であるデジノターの認証システムが7月19日に侵入され、google.comを含む多数のドメインのSSL証明書が不正発行されたと発表した

 SSL証明書はWebブラウザーで表示しているWebサイトが本物であることを証明する電子的な仕組みなので、この証明書が不正発行されれば、偽のWebサイトが本物であると自称することが可能になる。ウイルスの拡散や詐欺行為に悪用されかねない。すでに、不正発行されたgoogle.comのSSL証明書を悪用した攻撃も発生している。

 グーグルのセキュリティ・ブログも8月29日(米国時間)に攻撃を受けていることを明らかにした。攻撃によって影響を受けているのはイランのユーザーであるとも述べている。

 グーグルでは、同社のWebブラウザーであるChromeには不正証明書を検出する機能があるので、現状の利用のままでも攻撃からは守られているが、いっそうの保護のために事件の調査が終わるまでデジノターが発行した証明書は無効にするとしている。

 他の主要なブラウザーも対応を迫られた。OperaもChrome同様、現状利用のまま対処できるとしているが、8月30日(ノルウェー時間)に最新版のOpera 11.51を公開した。

 マイクロソフトも8月30日、マイクロソフト セキュリティ アドバイザリ (2607712)でデジノターの証明書を削除し、 Windows Vista、Windows 7、Windows Server 2008 および Windows Server 2008 R2については当面の対応を済ませたと発表した。ただし、Windows XPおよびWindows Server 2003向けの更新プログラムは検討中とのこと。

 Mozillaも9月2日、FirefoxおよびThunderbirdについて、デジノターの証明書を削除した。Firefoxは万全を期して最新版の6.0.1でも対応しているほか、手動での対応方法も公開している

 今回の不正SSL証明書問題だが、フィンランドのエフセキュアによると、デジノターは数年前からハッキング攻撃を受けていたらしい。SSL認証局のあり方も問われている。