不正なデジタル署名の問題の影響と対策


マイクロソフトは、不正なデジタル署名の問題に関して、アドバイザリ 2607712 やブログ(12)を公開し情報提供してきました。ここでもう一度、何が問題なのか、影響の範囲、気を付ける点、対策方法を整理してみたいと思います。

問題の概要
オランダの DigiNotar 社に悪意のあるハッカーが不正侵入し、勝手に不正なルート証明書を発行した事件が発生しました。これにより、もし悪意のあるハッカーが不正なルート証明書を使った Web サイトを構築し、ユーザーがその Web サイトに訪れた場合、あたかも正規の電子証明書を使った Web サイトと見誤る可能性があります。また、入力した情報(個人情報など)が悪意のあるハッカーに盗み見される可能性があります。本来、https 通信で訪れた Web サイトの証明書に問題がある(ドメイン名とそれに対応する証明書が一致しない)場合、ブラウザ上で図1 のような警告画面が表示されますが、今回の問題が悪用されると警告画面が表示されなくなる可能性があります。 今回、不正なルート証明書の中には、マイクロソフトに関連するものでは *.microsoft.com、*.windowsupdate.com、www.update.microsoft.com、他社に関連するものでは *.google.com、www.facebook.com、*.skype.com、twitter.com といったドメインに偽装する証明書が含まれます。つまり、これらのサイトにアクセスした場合、通信内容が盗み見される可能性があります。

1. Internet Explorer 問題のある証明書の Web サイトにアクセスした場合表示されるメッセージ

影響の範囲
不正なデジタル署名の問題について何も対策を行わない場合、個人情報など秘密にしておきたい情報が他人に盗み見される可能性があります。あまり日本では馴染みのないDigiNotar 社の証明書であっても、日本のユーザーも被害に遭う可能性はあります。

 

  • セキュリティーで保護された通信(SSL 通信など)が盗み見される可能性
    (例:インターネット メールの内容を第三者に見られる)


図2. 不正なデジタル署名の悪用の方法

ただし、この攻撃が成功するには一定の条件があります。攻撃者が、ユーザーの情報を盗み見するには、不正なサーバーを準備しユーザーを不正なサーバーに誘導する必要があります。これを実現するには、攻撃者がユーザーが参照する DNS の内容を改ざんする(図2の②)、あるいはユーザーの PC をマルウェアに感染させ hosts ファイルを改ざんする(図2の③)などが必要です。

逆に、対策を行った場合の影響としては、 DigiNotar 社の証明書を使用していると、次のような影響が発生する可能性があります。

  • デジタル署名されたアプリケーションが使えなくなる可能性
  • S/MIME、IPSec 通信など証明書を使ったサービス・通信が使えなくなる可能性

 

気を付ける点

マイクロソフト製品については更新プログラムを適用するだけで対応が可能です(Windows Vista 以降の
OS では、自動的に証明書をチェックするメカニズムがあるのでユーザーは特に対応する必要はありません。)。他社製品についても対策が必要な場合があり、製品をアップグレードするなどの対応が必要です。他社製品については、下記情報をご参考ください。

 

不正な電子証明書発行に関する問題について

http://www.ipa.go.jp/security/ciadr/vul/20110915-sslcert.html

対策方法

  • 企業ユーザー
    • WSUS を使用している場合、更新プログラム KB2616676 がユーザーに配信されるよう承認する
    • System Center などのシステム管理プログラムを利用している場合、更新プログラム
      KB2616676 が配信されるよう構成する
    • KB931125を適用していない環境では対応の必要はなし

 

 

 



Skip to main content