DigiNotar事件

先週公表されたオランダのSSL認証局DigiNotarが「google.com」に対する偽SSL証明書を発行していた事件。

8月29日には認証局によって偽証明書が取り消され、翌日にはブラウザ側でも対処版がリリースされたので3月の事件と同様に事態は程なく収束する事を期待していたのだが、今週になって発行された偽証明書が500個を超えている事が明らかになり、沈静化どころか日を追う毎に大変深刻な事態になってきている。

「addons.mozilla.org」のドメイン用のものもあったそうなので、先週金曜日にaddons.mozilla.orgが繋がらなかったのはこの為と思われる。

実際問題としては、イランのユーザーがGmailで送受信するメールを狙われたという話があるが、3月の事件から半年も経たずにまた大量の偽証明書が発行される等という事件はSSLの根幹を揺るがす大事件で、まだ事件の全容が明らかになっていないが3月に犯行声明を出したComodoHackerが今回の事件でも犯行声明と共に別の認証機関への攻撃も示唆したそうなので日本のユーザーも安心してはいられない。

取り敢えずWindows Updateに加えてFirefoxの6.0.2、Chromeの13.0.782.220など、各ベンダーは既にDigiNotar CA 証明書の無効化版をリリースしているので速やかにアップデートして欲しい。もし、諸般の事情でアップデートできないようならば手動でDigiNotar CA 証明書の削除すれば良い。

と思ったのだが、Appleではダンマリを決め込んでいるのか公式発表がない。Mac OS XでSSL認証処理にバグ?があり証明書の削除を行ってもダメだという話もあり、どうしたもんかね。

一方、ComodoHackerが自身のPastebin:Striking Back…で書いているが、DigiNotarの管理者Passwordが"Pr0d@dm1n"だったとは驚いたね。ツールをかければ数分でクラックできる程度のパスワードを使っていたとは、インターネットセキュリティの根幹を背負う認証局としてお粗末にも程がある。

参照

INTERNET Watch http://internet.watch.impress.co.jp/

• SSL認証局がGoogleなどの偽証明書を発行、ブラウザーベンダーが対策を公開 2011年3月24日
• 「google.com」に対する偽SSL証明書が見つかる、認証局が取り消し 2011年8月30日
• 「Firefox」「Thunderbird」のバージョン6.0.1公開、偽SSL証明書問題に対応 2011年8月31日
• 偽SSL証明書問題でMozillaが対応を説明、DigiNotarの証明書は恒久的に削除 2011年9月5日
• DigiNotar偽SSL証明書事件、「twitter.com」などにも拡大、全貌は未だ不明 2011年9月6日
• MSがDigiNotarの偽証明書問題でアップデートを提供、Mozillaも追加対策 2011年9月7日

ITmedia ニュース http://www.itmedia.co.jp/news/

• SSL認証局が偽の証明書を発行、大手サイトに影響の恐れ 2011年3月24日
• 不正SSL証明書の発行事件で「犯人」が手口公表 2011年3月29日
• 認証局が不正なSSL証明書を発行、Googleユーザーを狙う攻撃が発生 2011年8月31日
• Google ChromeとFirefoxの更新版が公開に、不正SSL証明書の問題に対処 2011年9月1日
• 不正SSL証明書発行の認証局、Webサイトも改ざんされていた 2011年9月2日
• MozillaがDigiNotarのCA認定を取り消し、政府関連証明書も失効 2011年9月5日
• 不正SSL証明書発行事件、攻撃側の真の狙いは？ 2011年9月6日
• Microsoft、不正SSL証明書問題に対処　Firefoxは再度更新 2011年9月7日

CNET Japan http://japan.cnet.com/

• グーグルなどを狙ったデジタル証明書不正取得が明らかに–背景にイランの影 2011年3月24日
• グーグルをかたる不正なデジタル証明書の存在が明らかに 2011年8月30日
• DigiNotarへのハッキング、FacebookやCIAなども影響か–証明書被害は500件以上に 2011年9月5日
• DigiNotarへのハッキング、イラン反体制派の監視が目的か–531件の証明書被害 2011年9月6日
• コモドを攻撃したハッカー、DigiNotarへの攻撃を表明–別の認証機関への攻撃も示唆 2011年9月7日

マイコミジャーナル http://journal.mycom.co.jp/

• Firefox、偽Google.com SSL証明書に対処 2011年8月31日
• GoogleとMozilla、DigiNotar発行証明書を失効扱いに 2011年9月6日
• 偽証明書531個へ増加、調査進行中でさらに増える可能性 - DigiNotar問題 2011年9月7日

次世代ブラウザ Firefox http://mozilla.jp/firefox/

• DigiNotar CA 証明書の削除

Mozilla Japan セキュリティセンター http://www.mozilla-japan.org/security/

• MFSA 2011-35: DigiNotar 社の不正な SSL 証明書からのさらなる保護 2011年9月6日

Diginotar internet trust services, certificaten, elektronische handtekening. http://www.diginotar.nl/

Wikipedia http://ja.wikipedia.org/wiki/

• Transport Layer Security