セキュリティ開発・調査会社Integoによると、ウェブブラウザが安全なウェブサイトの身元確認に利用するデジタル証明書が最近盗難に遭い、Safariユーザーが潜在的なリスクにさらされているという。Integoによると、AppleのブラウザがオンラインIDの検証を行う方法に限界があるためだという。
数日前、ハッカーは、デジタル証明書を発行する数社の 1 つである Comodo の関連会社から、Google、Yahoo、Skype など、さまざまな人気 Web サイトの不正なデジタル証明書を要求することに成功しました。
デジタル証明書は、ブラウザが安全な接続の相手側サイトが本当にそのサイトであることを確認するために使用されます。つまり、オンライン銀行を利用したりAmazonで買い物をしたりする場合、証明書によってそれが本当に自分の銀行またはAmazonであるかどうかが検証されます。これらの証明書はComodoなどの認証局によって発行されます。ブラウザが発行元を信頼している限り、発行された証明書も暗黙的に信頼されます。(Safariでは、ウィンドウの右上隅にある南京錠アイコン、または場所フィールドの会社名をクリックすることで、安全なサイトの証明書を表示できます。)
今回のセキュリティ侵害は、ハッカーが自ら作成したサイトをGoogle、Yahoo、Skypeのサイトであるかのように見せかけることを可能にしたため、このプロセスに支障をきたしました。偽の証明書を裏付けとするこれらの偽サイトは、人々を騙してあらゆる種類の個人情報を盗み出すために利用される可能性があります。
幸いなことに、証明機関はこれらのデジタル証明書を失効させ、ハッカーにとって無力なものにすることができます。ただし、これはブラウザが証明書が失効したことを認識している場合に限ります。このプロセスはすべてのブラウザで自動的に実行されるわけではありません。特にSafariは、Mac OS Xのキーチェーンマネージャに組み込まれたセキュリティ管理機能に依存しており、キーチェーンマネージャの検証機能はデフォルトでオフになっています。
幸いなことに、Integoのブログ記事で言及されているように、Safariをこの潜在的な脆弱性から再び保護するには、ほんの数回のクリックで済みます。キーチェーンアクセス(/Applications/Utilitiesフォルダ内、またはSpotlightに名前を入力してアクセス)を実行し、アプリの設定パネルで各種証明書失効プロトコルが有効になっていることを確認するだけです。詳しい手順については、上記のリンクをご覧ください。ただし、これらのオプションを有効にすると、ブラウジングの速度が低下する可能性があることに注意してください。
この問題は潜在的に深刻ですが、いくつか注意すべき点があります。まず、これらの偽造証明書を実際に悪用するには、攻撃者にとって多くの条件が完璧に整う必要があるということです。問題のウェブサイトの完璧なレプリカを作成し、ユーザーにそこへアクセスさせる必要があります。また、上記の解決策はSafariにのみ適用される点も指摘しておく必要があります。ChromeやFirefoxなどの他の一般的なMacブラウザは、異なる証明書検証メカニズムを採用していますが、最新の状態に保っていれば安全です。
