「総務省 電子申請・届出システム」の証明書配付方式に脆弱性 | ScanNetSecurity
2026.05.25(月)

「総務省 電子申請・届出システム」の証明書配付方式に脆弱性

 総務省の認証基盤において、ルート証明書配付方式に重大な脆弱性が発見された。この問題は、産業技術総合研究所の高木浩光氏らの研究チームがまとめた論文より、明らかになった。

製品・サービス・業界動向 業界動向
27 views
facebookLINE
 総務省の認証基盤において、ルート証明書配付方式に重大な脆弱性が発見された。この問題は、産業技術総合研究所の高木浩光氏らの研究チームがまとめた論文より、明らかになった。

 論文によると、「総務省 電子申請・届出システム」では、利用者がルート証明書をダウンロードする際、通信路の中で偽の証明書にすり替えられる可能性があるという。これは、ルート証明書をダウンロードする際、https:// ではなく http:// ではじまる暗号化されていない通信路を経由するためである。

 この問題点は、電子申請・届出システムが運用開始された翌日(2002年3月28日)に、「セキュリティホールmemo メーリングリスト」において指摘され、これを受け総務省は、2002年5月に証明書配付の問題について対策を施したとしている。しかし、現在もなお、配布手段が安全でなく、利用者が危険にさらされているという。

 また、この証明書をインストールする際、証明書の「拇印(フィンガープリント)」が画面に表示される。総務省Webサイトでは、「入手した証明書が正しいことを必ず確認してください」との注意書きをしているが、このフィンガープリントの掲載されたWebページも http:// のページであるため、この値も偽物にすり替えることが可能であるという。

 もし、利用者が偽のルート証明書と気づかず、Webブラウザにインストールしてしまった場合、悪意ある者は、その証明書の秘密鍵を使って、自由に偽のサーバ証明書を発行し、民間サイトの偽サイトを構築することが可能だという。また、偽のコード署名用証明書などを発行することで、悪意あるActiveX コントロールや、悪意あるJavaアプレットに署名を与えることが可能だという。

 これら、ルート証明書配布を安全なものとする代替手段として、論文では、「 https:// ページでの証明書の配布」「民間認証局発行のサーバ証明書の使用」「Webブラウザではなく専用ソフトウェアでの配布」などを挙げている。


電子申請・届出システム
http://www.shinsei.soumu.go.jp

論文:GPKIおよびLGPKIにおけるルート証明書配布方式の脆弱性と解決策(PDF)
http://securit.etl.go.jp/research/paper/css2002-takagi-dist.pdf

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 最終出社日(春分の日前日)の夜にクラウドから取引先個人情報ダウンロード 翌営業日検知し面談 事実と認める

    最終出社日(春分の日前日)の夜にクラウドから取引先個人情報ダウンロード 翌営業日検知し面談 事実と認める

  2. アメリカ人「近所にデータセンターが建設されるくらいなら原子力発電所が建つ方がまだまし」世論調査結果

    アメリカ人「近所にデータセンターが建設されるくらいなら原子力発電所が建つ方がまだまし」世論調査結果

  3. 経済産業省の審議官が感じた日本のサイバーセキュリティに抜けている二つのポイント

    経済産業省の審議官が感じた日本のサイバーセキュリティに抜けている二つのポイント

  4. 新日本検定協会のランサムウェア被害、東京海上日動火災保険の顧客情報漏えいの可能性

    新日本検定協会のランサムウェア被害、東京海上日動火災保険の顧客情報漏えいの可能性

  5. エネサンスホールディングスへのランサムウェア攻撃、約 36.5 万件の顧客情報が漏えいした可能性

    エネサンスホールディングスへのランサムウェア攻撃、約 36.5 万件の顧客情報が漏えいした可能性

ランキングをもっと見る
PageTop
ホーム 製品・サービス・業界動向 業界動向 記事
TOP