シマンテックのセキュリティ証明書発行に関するミスをGoogleが指摘|サイバーセキュリティ.com

シマンテックのセキュリティ証明書発行に関するミスをGoogleが指摘



Googleは2015年10月に大手セキュリティベンダーであるシマンテックの証明書発行プロセスに不手際があったとして改善を要求しました。具体的には、シマンテックの認証局が手違いでGoogleなどのドメインを対象とした暗号化されたTransport Layer Security(TLS)証明書を当該ドメインに知らされないままに発行してしまったというものです。

発行してしまったのはGoogleの他にOperaなどの合計5つの組織、76のドメインの164件のTLS証明書などとなっています。さらにはその他にも複数の疑わしい証明書が発見されているとの報告もあります。

TLS証明書とは

TLS証明書とはSSL/TLSと呼ばれるインターネットでの暗号化通信の仕組みで使われるものです。

通常の場合、情報は暗号化されずに送られますが、クレジットカードの情報など機密性の高いものを多く扱うケースではこういった暗号化技術を利用しています。SSL/TLSを使うケースでは、利用側のブラウザと提供側のサーバが通信をする際に、このTLS証明書をサーバ側からブラウザに送信します。

するとブラウザ側ではあらかじめ取得しておいた認証局のルート証明書を使用して検証します。検証結果が正常であれば通信が行われるという流れで、不正ななりすまし等が防止されるという仕組みです。

Googleが指摘する懸念とは

シマンテックのこのTLS証明書の不手際に対して、即座にGoogleは重大な懸念を表明しています。問題が発生した経緯と、問題に対する再発防止策と実施期限を明らかにするように求め、同時にシマンテックが発行する証明書について2016年6月を期限としてCertificate Transparencyと呼ばれる不正な証明書の発見のためのポリシーに準拠するように求めています。

そして、この期限以降にポリシーに準拠しない証明書が発行された場合、Chrome等は不正なものであると判断する可能性があると表明しています。さらには、追加で問題等が見つかった場合は更なる措置を行う可能性についても示しています。

では、なぜGoogleはこのような強い態度に出ているのでしょうか。証明書の発行不手際にはどういった問題が発生するリスクがあるのでしょうか。実は今回のような証明書が発行されてしまった場合、以下のようなセキュリティリスクが発生する可能性があるのです。

2つのセキュリティリスク

  1. 悪意を持ったものによるGoogle Webサイトへのなりすまし
  2. なりすましWebサイトによる一般訪問者への二次被害

まず1のなりすましでは、Googleドメインの証明書が発行されたということは、SSLでの通信で正しい宛先であると証明されてしまうということです。つまり、不正にGoogleになりすましたWebサイトであっても、今回の証明書を持っていればSSLによる暗号化接続であっても正しいGoogleのWebサイトであるとみなされてしまうということです。

さらにこういった不正なWebサイトは訪問することによってウィルスに感染するなどのセキュリティ被害を引き起こす可能性があります。

Googleにとってみれば、Google以外の不正なWebサイトが自らになりすまし利用者に被害をもたらすことは、利用者に不利益をもたらすだけでなく、Googleにとってもマイナスイメージにつながりかねません。

おわりに

元来はTLS証明書のような電子証明書は、そのWebサイトが正しいもので問題のない場所であるということを確実に証明するためのものです。それは、証明書が確実に本人(この場合はGoogle本人)であると証明するものであるとの前提に立っています。そして、その前提に立ちSSL通信において電子証明書は、サイトの真偽を正しく判断するもっとも要になるものと言っても過言ではありません。

今回のケースは、例えば役所の窓口で手続きをするのに免許証で本人確認をして、手続きを進めたが、フタを開けてみると実際は別人だったというような、いわゆる詐欺のような話です。電子証明書は確実に本人であるとの証明になるとの前提が崩れる恐れのある今回の事象は、やはりGoogleが言っているように根本的な原因と再発防止策を明確にして、絶対に起こらないようにすべき問題なのです。


SNSでもご購読できます。