セキュリティ企業Fox-ITが月曜日に発表した中間報告によると、イランの約30万の固有IPアドレスが、オランダのデジタル認証局DigiNotarが発行した不正な証明書を使用してgoogle.comへのアクセスを要求した。
DigiNotarが7月10日に発行した不正な証明書は、8月29日にようやく失効した。
Fox-ITは報告書の中で、「google.comへのリクエストIPアドレスは約30万件特定されている」と述べている。8月4日にはリクエスト数が急増し、8月29日に証明書が失効した。これらのIPアドレス(インターネットプロトコル)の99%以上はイランからのものだ。
IPアドレスのリストはGoogleに引き渡され、Googleはユーザーにこの期間に電子メールが傍受された可能性があることを通知できるとFox-ITは述べた。
同社はさらに、メール自体だけでなくログインCookieも傍受された可能性があると付け加えた。このCookieを利用することで、ハッカーはユーザーのGmailメールボックスやGoogleの他のサービスに直接ログインすることが可能になる。
Fox-ITは、「ログインCookieの有効期限が延長されました」と述べている。イラン国内のすべてのユーザーは、少なくともログアウトしてログインし、さらにパスワードを変更することが賢明だと付け加えている。
OCSP(オンライン証明書ステータスプロトコル)リクエストログを分析した報告書によると、この期間中のイラン国外のIPアドレスのサンプルは主にTor出口ノード、プロキシ、その他のVPN(仮想プライベートネットワーク)サーバーであり、直接の加入者はほとんどいなかった。
現在のブラウザは、https (ハイパーテキスト転送プロトコルセキュア) プロトコルを通じて保護された SSL (セキュア ソケット レイヤー) Web サイトに接続するとすぐに OCSP チェックを実行します。
Tor は、Web サイトによる追跡を防止したり、ローカル インターネット サービス プロバイダーによってブロックされているインスタント メッセージング サービスやその他のサービスに接続したりするためにユーザーが使用する分散型匿名ネットワークです。
google.com、CIA、イスラエルのモサドを含むドメインに合計531のデジタル証明書が発行された。
フォックス・アイティーは、ドメインのリストとユーザーの99パーセントがイラン国内にいるという事実から、ハッカーの目的はイラン国内のプライベートな通信を傍受することだったと推測される、と述べた。
Googleは8月29日、Googleユーザーに対する「SSL中間者(MITM)攻撃未遂」の報告を受けたと発表した。これは、何者かがユーザーと暗号化されたGoogleサービスの間に侵入を試みる攻撃である。影響を受けたユーザーは主にイラン在住者だった。
Googleはブログ投稿で、攻撃者はDigiNotarが発行した不正なSSL証明書を使用したが、DigiNotarはその後この証明書を失効させたと述べた。
同じくセキュリティ企業のトレンドマイクロは月曜日、8月30日までドメイン「validation.diginotar.nl」は主にオランダとイランのインターネットユーザーによって読み込まれていたと発表した。ドメイン名「validation.diginotar.nl」は、DigiNotarが発行するSSL証明書の信頼性をインターネットブラウザが確認するために使用されている。
DigiNotarはオランダの小規模な認証局で、顧客は主にオランダ国内です。「そのため、このドメイン名のリクエストは主にオランダのインターネットユーザーから、そしておそらく他の国のユーザーも少数はいるでしょうが、イラン人からのリクエストはそれほど多くないと予想しています」と、トレンドマイクロのシニア脅威研究者であるフェイク・ハッケボード氏はブログ投稿で述べています。
同社は、トレンドマイクロ スマート プロテクション ネットワーク データの分析から、8 月 28 日には DigiNotar の SSL 証明書検証 URL (Uniform Resource Locator) を読み込んだインターネット ユーザーの大部分がイラン出身であったが、8 月 30 日までにイランからのトラフィックのほとんどが消え、9 月 2 日にはイランからのトラフィックがほぼすべて消えたことを発見しました。
Fox-ITの報道によると、8月29日夜、イランの複数のインターネットユーザーに不正な*.google.com証明書が提示されたことが明らかになった。この偽の証明書はDigiNotarによって発行されたもので、同日夜に失効された。
翌日、セキュリティ会社は連絡を受け、侵入について調査し、週末までに調査結果を報告するよう求められた。
Fox-ITの報告書によると、DigiNotarへの最初の侵入は6月17日に発生した可能性がある。DigiNotarは6月19日に日常的な監査手順の中でこのインシデントに気付いたものの、その後何の対策も講じなかったようだ。同社にコメントを求めたが、すぐには連絡が取れなかった。
最初の不正な証明書 *.google.com は 7 月 10 日に発行されました。他のすべての不正な証明書は 7 月 10 日から 7 月 20 日の間に発行されました。
Fox-ITは、今回のハッキングは、DigiNotarの現在のネットワーク構成と手順がこの種の攻撃を防ぐのに十分なセキュリティを備えていないことを示唆していると述べた。例えば、最も重要なサーバーには、通常はウイルス対策ソフトで検出できる悪意のあるソフトウェアが含まれている。また、重要なコンポーネントの分離は機能していなかったか、適切に実施されていなかったと付け加えた。
ジョン・リベイロは、IDGニュースサービスでインドのアウトソーシングとテクノロジー全般の最新ニュースを担当しています。Twitterで@Johnribeiroをフォローしてください。メールアドレスは[email protected]です。
