MD5アルゴリズムの弱点を利用することで、偽のSSL証明書が作成できるという研究成果が、ドイツで開催されたセキュリティカンファレンスで12月30日に発表された。これを受け、マイクロソフトやMozillaなどがセキュリティ情報を公開した。
この研究成果は、ドイツ・ベルリンで開催されたセキュリティカンファレンス「25th Chaos Communication Congress」において発表されたもの。研究グループの発表によれば、200台のプレイステーション3により構築されたシステムにより、MD5で署名されたオリジナルの証明書と同一の署名を持つ別の証明書を生成することに成功したという。
MD5アルゴリズムの弱点については以前から指摘されていたが、現実的な攻撃方法は示されていなかった。今回、研究グループでは現実的な時間内に偽の証明書が作成できる方法を実証したことで、偽の証明書を利用したフィッシング詐欺攻撃などが可能となることを示した。
マイクロソフトでは、この研究発表を受けてセキュリティアドバイザリを公開。今回の発表を行った研究グループは攻撃に関する暗号学的な詳細をまだ発表していないため、現時点ではリスクが特段に上がるわけではないとしている。セキュリティアドバイザリでは、詳細情報の無い状態でこの攻撃を再現することはできず、これを悪用した攻撃活動を現時点では確認していないと説明。マイクロソフトでは認証局とともに今回の発表を踏まえて、より新しいSHA-1による署名アルゴリズムへの移行を促進させていくとしている。
関連情報
■URL
マイクロソフト セキュリティアドバイザリ(961509)
http://www.microsoft.com/japan/technet/security/advisory/961509.mspx
Mozilla Security Blogの該当記事(英文)
http://blog.mozilla.com/security/2008/12/30/md5-weaknesses-could-lead-to-certificate-forgery/
研究グループによる発表の概要(英文)
http://www.win.tue.nl/hashclash/rogue-ca/
( 三柳英樹 )
2009/01/05 18:00
- ページの先頭へ-
|