今年は2件の大規模な認証局(CA)攻撃が発生しました。3月には、ハッカーがWeb最大手の認証局の一つであるComodoへの侵入に成功し、自身宛ての偽の証明書(Yahoo!のものも含む)を発行しました。2件目の事件は今週発生し、オランダの認証局であるDiginotarが侵害を受け、多数の偽の証明書が発行されました。
では、証明機関攻撃はどのように機能するのでしょうか?証明書バンディットは、ComodoやDiginotarといった、ブラウザがウェブサイトの身元確認に使用するデジタル認証情報を発行する企業に侵入します。この認証情報は、ブラウザにサイトが「信頼できる」、つまり危険ではないことを伝えます。しかし、証明書バンディットは、Google、Mozilla、Skype、AOLといった「安全な」サイトになりすますための偽の証明書を発行することで、このプロセス全体を妨害します。
偽の証明書を使用するハッカーから身を守るための 4 つの方法をご紹介します。
1. ブラウザを最新の状態に保ってください。
ブラウザメーカーは、CAハッキングのニュースに迅速に対応し、製品に修正プログラムを提供することでハッキングをブロックします。一部のブラウザは自動更新でこれを行いますが、手動更新が必要なブラウザもあります。ブラウザがどのように自動更新されるか(あるいはされないか)を把握し、最新バージョンのプログラムを使用していることを確認してください。ブラウザの更新が早ければ早いほど、ハッカーの攻撃を阻止する速度も速くなります。
2. ブラウザで証明書の失効を有効にします。
一部のブラウザでは、証明書失効または証明書ステータスの確認がデフォルトで無効になっています。その場合は、有効にしてください。CA(認証局)が問題のある証明書を検出すると、認証情報が失効されます。ブラウザが証明書が失効したかどうかを判断し、警告を発する唯一の方法は、ステータスチェッカーが有効になっていることです。
3. ブラウザでルート証明書をカスタマイズします。
ほとんどのブラウザには、デフォルトで複数の「ルート証明書」が含まれています。これらの認証情報は、CAから発行されたすべての証明書を受け入れるための包括的な許可として機能します。例えば、最近のDigiNotarのケースでは、ブラウザにそのCAのルート証明書がインストールされていれば、そのCAが発行するすべての証明書(偽物であっても)が自動的に信頼されることになります。これを認識したMicrosoft、Mozilla、Googleといった大手ブラウザメーカーは、速やかにDigiNotarのルート証明書を自社製品から削除しました。一部のブラウザではルート証明書を手動で無効化できますが、これは技術的な知識と忍耐力を必要とする作業となるかもしれません。ブラウザには100を超えるルート証明書が存在する場合があり、それぞれの信頼設定を編集するには非常に時間がかかります。
4. ブラウザのアドレスバー内の緑色のバーを常に確認してください。
これは、アドレスバーに表示されているURLの証明書が「EV(拡張検証)」プロセスを経ていることを示すものです。すべてのウェブサイトがこのプロセスを採用しているわけではありませんが、多くの有名サイトではこのプロセスを採用しています。「これは、証明書保有者が非常に厳格で文書化された認証および審査プロセスを経ていることを保証するものです」と、シマンテックのテクニカルディレクター、リック・アンドリュース氏はPC Worldの取材に答えました。「EV証明書は定義上、即座に発行することはできません。人間による審査が必要です。」
フリーランスのテクノロジーライター John P. Mello Jr. と Today@PCWorld を Twitter でフォローしてください。
