「総務省 電子申請・届出システム」の証明書配付方式に脆弱性 | ScanNetSecurity
2021.06.14(月)

「総務省 電子申請・届出システム」の証明書配付方式に脆弱性

 総務省の認証基盤において、ルート証明書配付方式に重大な脆弱性が発見された。この問題は、産業技術総合研究所の高木浩光氏らの研究チームがまとめた論文より、明らかになった。

製品・サービス・業界動向 業界動向
 総務省の認証基盤において、ルート証明書配付方式に重大な脆弱性が発見された。この問題は、産業技術総合研究所の高木浩光氏らの研究チームがまとめた論文より、明らかになった。

 論文によると、「総務省 電子申請・届出システム」では、利用者がルート証明書をダウンロードする際、通信路の中で偽の証明書にすり替えられる可能性があるという。これは、ルート証明書をダウンロードする際、https:// ではなく http:// ではじまる暗号化されていない通信路を経由するためである。

 この問題点は、電子申請・届出システムが運用開始された翌日(2002年3月28日)に、「セキュリティホールmemo メーリングリスト」において指摘され、これを受け総務省は、2002年5月に証明書配付の問題について対策を施したとしている。しかし、現在もなお、配布手段が安全でなく、利用者が危険にさらされているという。

 また、この証明書をインストールする際、証明書の「拇印(フィンガープリント)」が画面に表示される。総務省Webサイトでは、「入手した証明書が正しいことを必ず確認してください」との注意書きをしているが、このフィンガープリントの掲載されたWebページも http:// のページであるため、この値も偽物にすり替えることが可能であるという。

 もし、利用者が偽のルート証明書と気づかず、Webブラウザにインストールしてしまった場合、悪意ある者は、その証明書の秘密鍵を使って、自由に偽のサーバ証明書を発行し、民間サイトの偽サイトを構築することが可能だという。また、偽のコード署名用証明書などを発行することで、悪意あるActiveX コントロールや、悪意あるJavaアプレットに署名を与えることが可能だという。

 これら、ルート証明書配布を安全なものとする代替手段として、論文では、「 https:// ページでの証明書の配布」「民間認証局発行のサーバ証明書の使用」「Webブラウザではなく専用ソフトウェアでの配布」などを挙げている。


電子申請・届出システム
http://www.shinsei.soumu.go.jp

論文:GPKIおよびLGPKIにおけるルート証明書配布方式の脆弱性と解決策(PDF)
http://securit.etl.go.jp/research/paper/css2002-takagi-dist.pdf
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×