フランス政府、従業員のトラフィックを嗅ぎまわるために Google の不正証明書を利用~自由、平等、不可視性:財務省によるマンインザミドルの詮索(The Register) | ScanNetSecurity
2024.05.04(土)

フランス政府、従業員のトラフィックを嗅ぎまわるために Google の不正証明書を利用~自由、平等、不可視性:財務省によるマンインザミドルの詮索(The Register)

「ヒューマンエラー」によって「偶然に」なりすましのデジタル証明書が発行された可能性があるという彼らの主張(Snowden が内部告発を行う前でさえ、少々ありえなかったように思われる説明)に対し、セキュリティ専門家たちは訝しげに眉をつり上げている。

国際 TheRegister
facebookLINE
フランス政府機関が、SSL証明書に署名して Google になりすましていたことが発覚した。

その偽りの証明書は、French Treasury, DG Tresor(フランス財務省、国庫経済政策総局)の権限で発行された。また、その財務省の証明書は、段階的に IGC/A(Infrastructure de Gestion de la Confiance de l'Administration)に、そして最終的には ANSSI(英国 GCHQ の認証担当 CESG に相当するフランスの機関)によって保証されていた。

フランス財務省は、暗号化された状態でネットワークを通される従業員のトラフィックを監視するため、偽の証明書を作成したと考えられている。その危険な証明書は、マンインザミドルの SSL 傍受を可能とするものであり、それは大いに眉をひそめられる、インターネットセキュリティの信用モデルを冒涜する行為だった。その実質的な結果は、フランス財務省の官僚と Google の間で送られた全てのメール、あるいはその他のデータが、フランス政府(そして、おそらくはその他によって)検閲できるよう、大きく開かれていたということだった…

※本記事は有料版メールマガジンに全文を掲載しました

© The Register.


(翻訳:フリーライター 江添佳代子

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  6. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  7. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  10. トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

    トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

ランキングをもっと見る
ホーム 国際 TheRegister 記事
TOP