「google.com」に対する偽SSL証明書が見つかる、認証局が取り消し

　「*.google.com」に対して発行された偽のSSL証明書が、発行から50日経過してから取り消されたことが明らかになった。イラン政府機関による中間者攻撃ではないかとの疑惑も出ているが、真偽は確認できていない。

　この問題は、8月28日にGmailサポートフォーラムで「alibo」と名乗るユーザーが報告したことで明らかになった。彼はGoogle Chromeブラウザーを使用していて、証明書に対する警告が表示されたために気付いたとしている。そしてイランに住んでいることから、イラン政府による攻撃ではないかと疑っている。

　また、MozillaはGoogleが報告した情報に基づいて事実関係を確認し、Mozilla Securityブログにて対処方法を公開している。

　証明書は、オランダの認証局DigiNotarが7月10日に発行していた。同社は8月29日にこの証明書を取り消している。そのため、被害が沈静化することが期待される。

　偽の証明書を承認してしまえば、ユーザーは偽のサイトを信頼できるサイトだと誤認してしまうため、パスワードなどの個人情報を書き込んだり、マルウェアを自動・手動でダウンロードしてしまうなど、さまざまな危険が考えられる。

　ブラウザーによって方法は異なるが、DigiNotar Root CAを信頼できる認証局から削除する必要がある。

　Internet Explorerの場合、インターネットオプション＞コンテンツタブ＞発行元メニューから信頼されたルート証明機関としてDigiNotar Root CAを削除できる。Firefoxの場合は、オプション＞詳細＞暗号化＞証明書を表示＞認証局証明書でDigiNotar Root CAを削除することが可能だ。なお、Mozillaは、FirefoxとFirefox Mobile、Thunderbird、Seamonkeyに対して、この認証局を削除するアップデートを行う予定だ。

Firefoxの「証明書マネージャ」画面