「総務省 電子申請・届出システム」の証明書配付方式に脆弱性 | ScanNetSecurity
2025.12.04(木)

「総務省 電子申請・届出システム」の証明書配付方式に脆弱性

 総務省の認証基盤において、ルート証明書配付方式に重大な脆弱性が発見された。この問題は、産業技術総合研究所の高木浩光氏らの研究チームがまとめた論文より、明らかになった。

製品・サービス・業界動向 業界動向
27 views
facebookLINE
 総務省の認証基盤において、ルート証明書配付方式に重大な脆弱性が発見された。この問題は、産業技術総合研究所の高木浩光氏らの研究チームがまとめた論文より、明らかになった。

 論文によると、「総務省 電子申請・届出システム」では、利用者がルート証明書をダウンロードする際、通信路の中で偽の証明書にすり替えられる可能性があるという。これは、ルート証明書をダウンロードする際、https:// ではなく http:// ではじまる暗号化されていない通信路を経由するためである。

 この問題点は、電子申請・届出システムが運用開始された翌日(2002年3月28日)に、「セキュリティホールmemo メーリングリスト」において指摘され、これを受け総務省は、2002年5月に証明書配付の問題について対策を施したとしている。しかし、現在もなお、配布手段が安全でなく、利用者が危険にさらされているという。

 また、この証明書をインストールする際、証明書の「拇印(フィンガープリント)」が画面に表示される。総務省Webサイトでは、「入手した証明書が正しいことを必ず確認してください」との注意書きをしているが、このフィンガープリントの掲載されたWebページも http:// のページであるため、この値も偽物にすり替えることが可能であるという。

 もし、利用者が偽のルート証明書と気づかず、Webブラウザにインストールしてしまった場合、悪意ある者は、その証明書の秘密鍵を使って、自由に偽のサーバ証明書を発行し、民間サイトの偽サイトを構築することが可能だという。また、偽のコード署名用証明書などを発行することで、悪意あるActiveX コントロールや、悪意あるJavaアプレットに署名を与えることが可能だという。

 これら、ルート証明書配布を安全なものとする代替手段として、論文では、「 https:// ページでの証明書の配布」「民間認証局発行のサーバ証明書の使用」「Webブラウザではなく専用ソフトウェアでの配布」などを挙げている。


電子申請・届出システム
http://www.shinsei.soumu.go.jp

論文:GPKIおよびLGPKIにおけるルート証明書配布方式の脆弱性と解決策(PDF)
http://securit.etl.go.jp/research/paper/css2002-takagi-dist.pdf

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 流出先での営業活動が新たに判明 ~ ヤマト運輸の元従業員による情報不正持ち出し

    流出先での営業活動が新たに判明 ~ ヤマト運輸の元従業員による情報不正持ち出し

  2. 期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン

    期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン

  3. テインへのランサムウェア攻撃、子会社の中国工場が 1 週間稼働を停止

    テインへのランサムウェア攻撃、子会社の中国工場が 1 週間稼働を停止

  4. ゼネラルで使用していた端末から情報流出の可能性

    ゼネラルで使用していた端末から情報流出の可能性

  5. コバヤシのサーバに不正アクセス、情報が窃取されるもデータ暗号化や業務停止に至る被害は無し

    コバヤシのサーバに不正アクセス、情報が窃取されるもデータ暗号化や業務停止に至る被害は無し

ランキングをもっと見る
PageTop
ホーム 製品・サービス・業界動向 業界動向 記事
TOP