2016.06.26(日)

SSL証明書の認証機関がセキュリティ侵害により証明書発行停止、またもや(The Register)

国際 TheRegister

また新たなWeb認証局が、SSL証明書の発行を停止した。そのサーバの一つに、ハッカーによる攻撃ツールの保存を可能にしたセキュリティ侵害が発見されたためだ。

オランダベースのKPN Corporate Marketは、4年前に起きた可能性のあるセキュリティ侵害の調査を行い、対応策をとっていると述べた。この侵害が明るみに出たのは、分散型のサービス妨害攻撃を行うためのツールが、同社のネットワーク上で発見された後のことだ。

KPNサーバはGoogleやeBay、その他何百万ものサービスが、自身のWebサイトが安易に作成された偽モノではなく、本物であることを証明するために用いる証明書を生成するのに使用されるが、このセキュリティ侵害がこれらサーバに影響を与えるという兆候はない。しかしKPNは、金曜に出した声明ここにGoogleの翻訳がある)で、その可能性を「完全に排除することはできない」と述べている。

今回のセキュリティ侵害は、その最も不安定な、もしくは最も信頼の置けないメンバー程度にしか信頼できないSSLシステムの脆弱さを強調している。600以上の認証局がInternet Explorer、Chrome、Firefoxにより信頼を与えられているが、Google Mail、あるいは他のWebサイト用の証明書の完璧に近いレプリカを作成するには、一つの認証局の証明書発行システムの防御に穴を開けるだけで済むのだ。そして認証局の中には、中国のような国に位置するものもあり、そうした認証局が不正な証明書を発行するよう強要されていると想像しても、行き過ぎとは言えない…

※本記事は有料版に全文を掲載します

© The Register.


(翻訳:中野恵美子
略歴:翻訳者・ライター
《ScanNetSecurity》

編集部おすすめの記事

特集

国際 アクセスランキング

  1. Facebook CEOのザッカーバーグ氏の一見前時代的なセキュリティ対策

    Facebook CEOのザッカーバーグ氏の一見前時代的なセキュリティ対策

  2. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

    Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  3. ここが変だよ日本のセキュリティ 第23回「セキュリティ対策の弱点探しキーワード 後篇」

    ここが変だよ日本のセキュリティ 第23回「セキュリティ対策の弱点探しキーワード 後篇」

  4. Wi-Fiハッキングで三菱アウトランダーの盗難警報器が無効に ~ 善意のハッカーによる(The Register)

  5. 物理的に隔離された SCADA システムでさえも安全ではない~これからの Stuxnet 型攻撃を専門家が警鐘 (The Register)

  6. ユーザーを売るために、Webサイトはいかにしてブラウザを利用するか~商品にされるのを避ける方法を(不本意ながら)お教えしよう(1) (The Register)

  7. インターネット・エクスプローラの脆弱性を悪用してクッキー不正閲覧/盗難が可能

  8. 米国政府によるiOSの「バックドア」の要求に、アメリカを代表してアップルが異議を申し立てる:我思う(iThink)、故に我暗号化する(iEncrypt) (The Register)

  9. SCAN DISPATCH :Cyber Crime USA、米国にあった犯罪ISPの全貌

  10. MIT の研究者たちが Tor の秘匿サービスを 88%の精度で識別~隠されているもので、あらわにならぬものはない(The Register)

アクセスランキングをもっと見る

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×