多くの認証局で、最小限の確認のみで証明書が発行されている問題(JVN) | ScanNetSecurity
2024.04.29(月)

多くの認証局で、最小限の確認のみで証明書が発行されている問題(JVN)

IPAおよびJPCERT/CCは、複数の認証局において、証明書発行時の確認が「特定のメールアドレスでのやりとりが可能であること」のみで行われている問題について「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
facebookLINE
CERT/CCによる情報
CERT/CCによる情報 全 1 枚 拡大写真
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は3月30日、複数の認証局において、証明書発行時の確認が「特定のメールアドレスでのやりとりが可能であること」のみで行われている問題について「Japan Vulnerability Notes(JVN)」で発表した。CVSSによる最大Base Scoreは6.4。現時点で対策方法は公表されていない。

多くのルート認証局は、「ドメイン認証型(domain-authenticated)」、またはそれに類似する名前を持つ証明書の発行サービスを提供している。ドメイン認証型証明書は、証明書発行依頼者がドメイン管理者であることの最小限の確認のみで発行されている場合がある。たとえば、証明書を発行するドメイン名のメールアドレスを使って連絡可能であることを確認するだけで証明書を発行するサービスもある。

この場合、ドメイン管理に無関係な第三者によって当該ドメインの証明書を取得され、偽のHTTPSサイトを立ち上げられたり、クライアントに警告を出されることなくHTTPS通信を傍受される可能性がある。JVNではワークアラウンドとして、センシティブなメールアカウントを使わせないことを提案している。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. GROWI に複数の脆弱性

    GROWI に複数の脆弱性

  3. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

  5. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  6. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  7. メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

    メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

  8. NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供

    NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供

  9. フィッシングサイトのドメイン「top」が最多、デジタルアーツ調査

    フィッシングサイトのドメイン「top」が最多、デジタルアーツ調査

  10. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

ランキングをもっと見る
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP