「総務省 電子申請・届出システム」の証明書配付方式に脆弱性
総務省の認証基盤において、ルート証明書配付方式に重大な脆弱性が発見された。この問題は、産業技術総合研究所の高木浩光氏らの研究チームがまとめた論文より、明らかになった。
製品・サービス・業界動向
業界動向
論文によると、「総務省 電子申請・届出システム」では、利用者がルート証明書をダウンロードする際、通信路の中で偽の証明書にすり替えられる可能性があるという。これは、ルート証明書をダウンロードする際、https:// ではなく http:// ではじまる暗号化されていない通信路を経由するためである。
この問題点は、電子申請・届出システムが運用開始された翌日(2002年3月28日)に、「セキュリティホールmemo メーリングリスト」において指摘され、これを受け総務省は、2002年5月に証明書配付の問題について対策を施したとしている。しかし、現在もなお、配布手段が安全でなく、利用者が危険にさらされているという。
また、この証明書をインストールする際、証明書の「拇印(フィンガープリント)」が画面に表示される。総務省Webサイトでは、「入手した証明書が正しいことを必ず確認してください」との注意書きをしているが、このフィンガープリントの掲載されたWebページも http:// のページであるため、この値も偽物にすり替えることが可能であるという。
もし、利用者が偽のルート証明書と気づかず、Webブラウザにインストールしてしまった場合、悪意ある者は、その証明書の秘密鍵を使って、自由に偽のサーバ証明書を発行し、民間サイトの偽サイトを構築することが可能だという。また、偽のコード署名用証明書などを発行することで、悪意あるActiveX コントロールや、悪意あるJavaアプレットに署名を与えることが可能だという。
これら、ルート証明書配布を安全なものとする代替手段として、論文では、「 https:// ページでの証明書の配布」「民間認証局発行のサーバ証明書の使用」「Webブラウザではなく専用ソフトウェアでの配布」などを挙げている。
電子申請・届出システム
http://www.shinsei.soumu.go.jp
論文:GPKIおよびLGPKIにおけるルート証明書配布方式の脆弱性と解決策(PDF)
http://securit.etl.go.jp/research/paper/css2002-takagi-dist.pdf
《ScanNetSecurity》
特集
アクセスランキング
-
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ
-
クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存
-
信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化
-
「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開
-
サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求
-
「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい
-
「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応
-
SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感