SSL認証局が偽の証明書を発行 (WebTrustとってますが。。。)
こんにちは、丸山満彦です。SSL認証局が偽の証明書を発行って。。。(COMODO)でも、マイクロソフトに予め信頼されるサイトとしてCOMODOは登録されていますので、WebTrustの監査を受けていますよね。。。
■ITmedia
・2011.03.24 SSL認証局が偽の証明書を発行、大手サイトに影響の恐れ
=====
偽証明書はこうしたWebサイトのユーザーを狙ったフィッシング詐欺、コンテンツ偽装、中間者攻撃などに使われる恐れがあるという。セキュリティ企業のF-Secureによると、例えば攻撃者が「https://login.skype.com」というURLを使った偽サイトにSkypeユーザーを誘導して、ユーザーネームとパスワードを収集したり、Yahoo!メールやGmail、Hotmailのメールを読んだりすることができてしまう恐れがある。上級ユーザーでもだまされていることにはまず気付かないだろうとしている。
Comodoによると、証明書発行の申請を審査しているComodoアフィリエートのアカウントのログイン情報が何物かに盗まれてアカウントに侵入され、偽証明書が発行されたという。攻撃に使われたIPアドレスは、イランのISPに割り当てられたものだったことが分かったとしている。
Comodoは問題の発覚後、ただちに証明書を無効にする措置を取った。Microsoftは現時点で実際の攻撃は確認されていないとしながらも、Windowsのアップデートを配信し、9件の偽証明書をWindows上で信頼できない証明書に分類する措置を取った。
=====
証明書発行の申請を審査している会社でIDとパスワード等を盗まれ、なりすまされ、偽の証明書が発行されたということですよね。。。
ちなみにWebTrustの監査をしていたのは、E&Yでした。。。
●Report of Independent Accountants (E&Y)
●Report of Independent Accountants (E&Y) for Report of Independent Accountants (E&Y) EV
Comments
丸山 様
夏井です。
同様の事例は他にもあるようです。
いずれも某国(複数)がからんでいるらしいとされていますが,詳細は不明です。追跡できないので,どうしようもありません。
ここでもまた,「トップが悪である場合」の問題点がありますね。
Posted by: 夏井高人 | 2011.03.24 at 14:49
夏井先生、コメントありがとうございます。
信頼すべきものが信頼できないとわかったら、信頼前提でつくっていた社会、制度そのものが覆るので、(論理的には)一からやり直しですね。。。
Posted by: 丸山満彦 | 2011.03.29 at 09:59
丸山 様
夏井です。
最終的には,電子的な第三者認証ではなく,「電子的な自己認証」+「非電子的な自己認証」という組み合わせでやっていくことになると思います。
また,認証の方法についても,従来のような線形的な認証では破綻することが明らかなので,非線形でやらなければなりません。
私が「ショートショートもどき」で実験してみているセマンティック暗号の試みは,その極めて初歩的な段階に位置するものです。会員制ブログで解題として書いてあることがすべてではありません。「+非電子的な自己認証」のところが全く機能しない人には絶対に解読できないようになっています。非線形ですので,線形的なアルゴリズムが存在しません。つまり,通常のコンピュータによる計算処理では解読ができません。
Posted by: 夏井高人 | 2011.03.29 at 11:26