ITmedia NEWS >

SSL認証局が偽の証明書を発行、大手サイトに影響の恐れ

» 2011年03月24日 08時31分 公開
[鈴木聖子,ITmedia]

 SSL認証局のComodo Groupが偽のSSL証明書を発行し、Microsoft、Google、Yahoo!など大手各社のWebサイトが影響を受ける恐れがあることが分かった。MicrosoftやMozillaはアップデートを配信し、攻撃を防止する措置を取っている。

 Microsoftによると、Comodoは偽のSSL証明書を9件発行したという。影響を受けるのは、Hotmailのログインに使われている「login.live.com」のほか、Googleの「mail.google.com」「www.google.com」、Yahoo!の「login.yahoo.com」(3件の証明書が関連)、Skypeの「login.skype.com」、Firefoxアドオン用の「addons.mozilla.org」、および「Global Trustee」の各ドメインとなっている。

 偽証明書はこうしたWebサイトのユーザーを狙ったフィッシング詐欺、コンテンツ偽装、中間者攻撃などに使われる恐れがあるという。セキュリティ企業のF-Secureによると、例えば攻撃者が「https://login.skype.com」というURLを使った偽サイトにSkypeユーザーを誘導して、ユーザーネームとパスワードを収集したり、Yahoo!メールやGmail、Hotmailのメールを読んだりすることができてしまう恐れがある。上級ユーザーでもだまされていることにはまず気付かないだろうとしている。

 Comodoによると、証明書発行の申請を審査しているComodoアフィリエートのアカウントのログイン情報が何物かに盗まれてアカウントに侵入され、偽証明書が発行されたという。攻撃に使われたIPアドレスは、イランのISPに割り当てられたものだったことが分かったとしている。

 Comodoは問題の発覚後、ただちに証明書を無効にする措置を取った。Microsoftは現時点で実際の攻撃は確認されていないとしながらも、Windowsのアップデートを配信し、9件の偽証明書をWindows上で信頼できない証明書に分類する措置を取った。

 MozillaもFirefox 4.0/3.6/3.5のアップデートを公開し、問題の証明書を自動的にブロックする措置を取ったことを明らかにした。

 Comodoは影響を受けるドメインの所有者と大手ブラウザ各社に連絡を取ったとしており、このほかの各社も対策を講じているとみられる。

関連キーワード

SSL | Microsoft | Firefox | Mozilla | 認証 | 偽造


Copyright © ITmedia, Inc. All Rights Reserved.