Google、フランス政府の偽造CA証明書を発見

Google の公式セキュリティ ブログによると、Google は、フランス情報システムセキュリティ庁 (ANSSI) と関係のある中間 CA 発行者が偽の CA 証明書を発行したことを発見しました。 Google は、証明書を取り消すために Chrome を直ちに更新し、ANSSI および他のブラウザベンダーに通知すると発表しました。

Google はブログ投稿で、中間証明書にはすべての CA 認証が含まれているため、そのような中間証明書を取得した人は誰でもそれを使用して任意の Web サイト証明書を偽造し、ユーザーの承諾を得て暗号化されたネットワーク トラフィックを監視できると指摘しました。たとえば、「Google Gmail の https をクラックするための新しいアイデア」で言及されている攻撃方法。

ANSSIはその後、偽造証明書の発行は人為的なミスであり、ネットワーク全体のセキュリティには影響がなかったとの声明を発表した。

ANSSI 偽造 CA 証明書は、世界で初めて暴露された国家レベルの偽造 CA 証明書による暗号化通信ハイジャック事件であり、ネットワーク セキュリティ業界に悪影響を及ぼしていると報じられています。この偽の CA 証明書は、Google トラフィックを監視し、Gmail、Google HTTPS 検索、Youtube などでフィッシング攻撃、コンテンツのなりすまし、中間者攻撃を実行するなど、Google の暗号化ネットワーク サービスを乗っ取るために使用され、被害者の Google アカウントのパスワードやその他の機能を盗みました。

Google はこの事件をきっかけに証明書の透明性の必要性を強調し、中間者攻撃やオンライン詐欺につながる可能性のある SSL 証明書システムの欠陥を修正する予定です。 Google は、この種の脆弱性に対して、CA フレームワークを使用してこれらの証明書を監視および確認し、不正な CA を排除するか、違法な証明書が侵入しようとしたときにそれらを隔離するという対応をとっています。

マイクロコメント：フランス当局は違法な証明書を使ってGmailアカウントを攻撃した。これは単純すぎるし、時にはナイーブだ。この手法は捕まりやすいだけでなく、暴露された後は恥辱と混乱を招くことになる。中国を見れば、はるかに進んでいる。通信事業者を通じてユーザーを直接乗っ取り、パスワードを盗むのだ。Googleは中国のネットワーク環境を持っていないため、まったく検知できない。その結果、ハッキングされたときに誰がやったのか分からない。そのため、Gmailを使用する中国のユーザーには2段階認証が必須となっている。

Google、フランス政府の偽造CA証明書を発見

キーワード: GOOGLE