ScanDispatch「認証局は本当に信頼できるのか？偽のGoogle証明書」

　またしても、認証局がハッキングされた。

　マイクロソフトは8月30日、セキュリティアドバイザリ（2607712）において「マイクロソフトの証明書信頼リストから DigiNotar のルート証明書を削除しました」と発表しているが、今回ハッキングされたのはオランダの認証局のDigiNotar社だ。

　DigiNotar社はVasco社の子会社で、Vasco社のプレスリリースによると「7月19日にDigiNotar社は、Googleを含む偽のPublic Key Certificateを発行する結果となったCAインフラに対する侵入を発見」し、侵入を発見後「対策を取り、第三者機関に監査を依頼して偽の証明書はすべて取消しされたと確認した」が、「最近になってオランダ政府のGovcertから、少なくともひとつの証明書が取消しされずに残っていることを知らされ、即座にこれを取り消した」と発表している。この取り消しが遅れてしまったものが、どうやらGoogleの偽証明書なのだ。

　今年の3月、CAのリセラーであるComodo社にイランのハッカーが侵入し、Gmailなどオンラインメールの偽の証明書を発行した事件を覚えているだろうか？　今回のハッキングもイランが背後にあるとニュースでは書かれているが、F-SecureのMikko Hypponen氏は、イランのハッカーと自称する誰かが「Hacked By KiAnPhP　Extrance Digital Security Team　Iranian Hackers」という署名を発見したと、8月30日付けのブログで発表している。

　イランのハッカーが背後にいるかいないに関わらず、偽の証明書がイラン国内で中間者攻撃に使われていることは確かなようだ。
　Google社はそのブログで、Information Security ManagerのHeather Adkins氏が29日、「今日、Googleユーザを対象にしたSSLのMITM攻撃のレポートを受け取った……この攻撃の影響を受けた人は主にイラン国内にいる」と発表した。

　またMikko Hypponen氏によると、そもそも今回の事件を最初に発見したのは、スウェーデンのセキュリティ専門家であるHamid Kashfi氏で、彼がTwitterに「#Google MiTM attack by #Iran #government, again? bit.ly/qGTf0a can anybody confirm or provide pcap & traceroute? please re-tweet」と28日にTweetしたことが発端になっているそうだ。

　Hamid Kashfi氏が、「イラン政府によるGoogleのMITM攻撃？　このURLを確認してpcapとtracerouteをしてくれないか？」と頼んでいる問題のURLは、Googleヘルプフォーラムにaliboというユーザがアップロードしたヘルプを示しており、aliboは「Gmailのアカウントにログインしようとしたら、Chromeから警告が出た。これがスクリーンショトで、これが偽証明書をデコードしたテキスト（pastebinのurl）。VPNを使ったときは警告が出てこなかった。ISPか政府がこの攻撃を行っていると思う（というのは、僕はイランに住んでいて、Comodoハッカーのことは有名だから）」と書いている。

　Hamid Kashfi氏のこのTweetに、Moxie Marlinespike氏が「pastebinののシグネチャを確認した。有効な証明書だ」と返答している。Moxie Marlinespike氏はアメリカのセキュリティ専門家でWhisper Systems社の創設者にて、SSLに関する研究で非常に有名だ。
　こうした認証局へのハッキング、偽の証明書によるMITM攻撃が頻繁に行われるようになり、認証局は本当に信頼できるのだろうか？という疑問が生じても当然だろう。

※本記事は有料購読会員に全文を配信しました

マイクロソフトセキュリティアドバイザリ
http://www.microsoft.com/japan/technet/security/advisory/2607712.mspx

FireFox　ヘルプページ
http://support.mozilla.com/ja/kb/deleting-diginotar-ca-cert

VASCOプレスリリース
http://www.vasco.com/company/press_room/news_archive/2011/news_diginotar_reports_security_incident.aspx

Google Blog
http://googleonlinesecurity.blogspot.com/2011/08/update-on-attempted-man-in-middle.html

Googleヘルプフォーラム
http://www.google.com/support/forum/p/gmail/thread?tid=2da6158b094b225a

Convergence
http://convergence.io

Prospective Project
http://perspectives-project.org/

（米国　笠原利香）