|
■URL
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-017
http://www.microsoft.com/technet/security/bulletin/MS01-017.asp
http://www.verisign.com/developer/notice/authenticode/index.html
http://www.cert.org/advisories/CA-2001-04.html
米Microsoftは22日、米VeriSignが「Microsoftの従業員」を名乗る人物に対して、誤って「Microsoft Corporation」名のデジタル署名を2通発行してしまったことを明らかにし、Microsoft製品のユーザーすべてに対して偽の署名に十分な注意をするように呼びかける声明を発表した。また、現在、セキュリティ調査団体の米CERT/CCからも、この件に関する報告がなされている。これはこれまでにあったようなプログラムミスに起因するセキュリティーの欠陥ではなく、VeriSignの人為的なミスによるもので、暗号システムにはらむより大きな社会的な問題とも言えるかもしれない。
デジタル署名はActiveXコントロール、Officeマクロやその他の実行可能なプログラムを証明し、身元を明らかにするために使われているが、今回発行されたデジタル署名も「Microsoft Corporation」という名前で発行されているため、利用者は誤って偽のプログラムに承認を与え、実行してしまう恐れがある。
しかし十分な注意を払えばこの危険を回避できるとMicrosoftは考えている。デジタル署名は暗号化された数値で成り立っているため、以前にMicrosoftの署名を承認していたとしても、新しい署名と以前のものとは署名が異なっている。そのためそうしたプログラムを実行しようとすると警告が発せられる。その警告には「Microsoft Corporationからの署名である」と書いてあるが、この署名が偽物であることを確認できれば問題は回避できる。
Microsoftではデジタル認証をする際の警告ダイアログに十分注意するよう呼びかけており、偽の署名が発行された日付が2001年1月29日と30日の2日だけであることを発表した。Microsoftはこの日付で発行された同社正規のデジタル署名は存在しないとしている。したがってデジタル署名がこの日付で発行されていれば、そのプログラムを削除し、決して実行してはならない。さらにメールを通して悪質なプログラムがデジタル署名をされたうえで到達することもあり得るため、Outlookのセキュリティーツールをアップデートすることや、オフィスドキュメントを開く際に警告を開くようにするツールなどをアップデートするよう勧めている。
VeriSignはこうした事態を受けてすでに誤って発行した署名を取り消しており、VeriSignのCRL(認証削除リスト)に掲載している。しかし、VeriSignのシステムではインターネットを通じてCRLとソフトが連携する仕組みが整っていないために、ブラウザーがCRLメカニズムを利用することができていなかった。Microsoftではこの問題を一時的に解決するためにアップデートを作成しており、この中で問題の2つのデジタル署名を確認し、それらの署名のついたプログラムをローカルマシンで実行できないようにする方策を考えている。しかし対象となるプラットフォームがWindows 95をはじめ、1995年以来のすべてのプラットフォームと膨大であるため、アップデートプログラムの作業が遅れている。
今回生じた事態はMicrosoftの責任ではなく、VeriSignの責任であることは明らかだ。デジタル署名の仕組みについてこうした事態が起きることは以前から警告はされていた。しかしながらVeriSignがCRLをインターネットを通して利用できる形にしていなかったことを含め、体制に問題がなかったのかどうか今後確認作業が必要となるだろう。また、Microsoftを始め、NetscapeやOperaなどのブラウザーなどでもCRLの仕組みをブラウザーの中に取り入れていく作業が求められている。MicrosoftはVeriSignに警告を受けたことを声明で明らかにしているものの、VeriSignでは今のところ公式な声明を発していない。
(2001/3/23)
[Reported by taiga@scientist.com / ymasa@factory.to]