« 英国警察のサイバー犯罪取締部門、ロンドン五輪の準備 | トップページ | NIST SP800-37「連邦政府情報システムに対するセキュリティ承認と運用認可ガイド」公開 »

2009年1月22日 (木)

SSL証明書が偽造されるリスクについて

日経ITproの記事「認証局のデジタル証明書が偽造されるリスクについて」からです。

認証局(CA)のSSL証明書を偽造するという今回の攻撃を調査した結果が出ています。
結論としては,「リスクの大きさは大して変わらなかった」ということらしいです。

記事によると、今回の攻撃に関する初期評価の結果は,以下の通り。

・この攻撃を作りだした研究調査チームは,非凡な才能と専門知識を持つ顔ぶれだが,それでも問題を突き止めるまで約4カ月かかった。そしてついに、MD5におけるコリジョン(衝突現象)を突き止めるに至ったのである。犯罪者たちの中に極めて高い技術を持つ者がいたとしても,この攻撃を摸倣するまでには時間がかかると思われる。

・研究チームは,一連の攻撃のためにあつらえたハードウエアとソフトウエアを使用。こうした攻撃システムを,米アマゾンの仮想マシン・ホスティング・サービス「Amazon Elastic Compute Cloud(EC2)」を1500~2万ドル分利用するのと比べることは,リンゴとオレンジのように全く異なるものを比較するのと同じで意味がない。また,犯罪者たちが「プレイステーション3(PS3)」ベースのクラスタを複製またはシミュレーションしたり,ボットネットなどに計算を肩代わりさせたりするにしても,時間がかかる。

攻撃を実行するには,予測可能な連続する認証番号を使っている認証局から,MD5で署名されたデジタル証明書をあらかじめ購入しておく必要がある。認証番号がバラバラだったり、MD5署名証明書を発行してもらえなかったりすれば、攻撃は実行不可能となる。米ベリサインの報告では,同社のすべての証明書に対して今回の攻撃が「無効となるよう手を打った」としている。その他の認証局も,攻撃リスクを減らすため迅速に対応する可能性が極めて高い。

・一部の証明書が既に攻撃されているという憶測は,憶測に過ぎない

攻撃が既に「実際に行われている」としたら,ネットワークへの侵入,あるいはネットワークを操作し,Man-in-the-Middle(介入者)攻撃を仕掛けている可能性がある。例えば,DNS/ARPポイズニング攻撃や無線LAN接続を横取りする「Evil Twin」攻撃などだ。これらの攻撃は,既存のツールで検出できる。

・ハッシュ関数は,非常に重要な技術でありながら,問題が多発している。我々の把握するところでは,MD5はこの12年間で廃れてしまった。ご存じのように、短期的にはMD5の後継になりうるとされていた別のハッシュ関数SHA-1も攻撃に対してぜい弱であることが明らかとなり、米国商務省の国立標準技術研究所(NIST)は,SHA-1によるデジタル署名を2010年以降使わないと宣言している。近い将来,MD5の時と同じ様な事態を目の当たりにするだろう。しかも残念ながら,現時点でSHA-1ほど広く採用/導入されているハッシュ関数は存在しない。

・今回の発表から24時間以内に寄せられた反応は,Webサイトの認証についてと,フィッシングに悪用される可能性といったものばかりだった。その他のSSL証明書やX.509証明書に対する影響の検証はこれからであり,警告が出される可能性はある。ただし,今回の攻撃によるリスクの大きさは,攻撃者が積極的に利用するかどうかにかかっている。攻撃の効率が高まり,簡単に使えるようになれば,新たに発見される脆弱性よりもリスクが高まりかねない。

それから、この記事の締めくくりにはこのような文章がありました。

 暗号技術の世界では,「Attacks only get better」(攻撃は必ず強力になっていく)が定説だ。今回の攻撃を実践的な形にしたもの,あるいは効率化したものが今後出てくることは間違いない。

「Attacks only get better」(攻撃は必ず強力になっていく)
確かに・・・

<このブログの関連記事>
「SSL証明書の偽造に成功」

|

« 英国警察のサイバー犯罪取締部門、ロンドン五輪の準備 | トップページ | NIST SP800-37「連邦政府情報システムに対するセキュリティ承認と運用認可ガイド」公開 »

ニュース」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/27355645

この記事へのトラックバック一覧です: SSL証明書が偽造されるリスクについて:

» 無線LANのアクセスポイント [無線LANのアクセスポイント]
無線LANのアクセスポイントを街角で使うなら、ヨドバシカメラのサービスであるワイヤレスゲートサービスが月額380円でお得です。全国のマクドナルドで使えるので100円マックで公衆無線LANが使い放題です。 [続きを読む]

受信: 2009年1月24日 (土) 00時48分

« 英国警察のサイバー犯罪取締部門、ロンドン五輪の準備 | トップページ | NIST SP800-37「連邦政府情報システムに対するセキュリティ承認と運用認可ガイド」公開 »