パスワードを忘れた? アカウント作成
10361852 story
Google

Google所有ドメイン向けの不正証明書が発行されていた 18

ストーリー by hylom
気持ちは分かるがそれはアウトです 部門より
Motohiko 曰く、

Googleが所有する複数のドメインに対する不正な電子証明書が発行されていたことが12月3日に発見されたとのこと(Google Online Security BlogITmedia)。

影響するドメインはgoogle.com、youtube.com、.google.co.jpなど広範囲におよぶ。各ブラウザーベンダーは既に対応を表明しているので、更新情報には注意して欲しい。

この不正な電子証明書は、プライベートなネットワーク内で、そのネットワーク内のユーザーのGoogle関連サイトに対する暗号化通信を調査するために使われていたことが分かっているとのこと。プライベートネットワーク内で暗号化されたトラフィックをチェックしたい、という需要は企業内のファイアウォールなどで一定数あるようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年12月12日 15時23分 (#2510969)

    Mozillaのblogによると

    > We believe that this MITM instance was limited to the subordinate CA’s internal network.

    とのことです。

    CAが自分のところの内部ネットワークの通信をのぞき見するために、わざわざ偽の証明書を発行するって、
    なんというか、自由ですね。

    https://blog.mozilla.org/security/2013/12/09/revoking-trust-in-one-ans... [mozilla.org]

    • by Anonymous Coward

      > GoogleはChromeブラウザで問題の証明書を失効させ、この証明書を発行した中間認証局を遮断する措置を講じた。

      くず認証局っすなぁ、こうゆうのは信用が大事だから
      一度ミスったら許してもらえないだろうね。

      この中間認証局に署名してもらった他のサイトは良い迷惑だな

  • by hishakuan (32621) on 2013年12月12日 16時05分 (#2510992) 日記

    最近Google ニュース行くと警告が数十回出てたのはこれのせい?

    • by Anonymous Coward
      警告の内容くらい確認しなさいよ。
  • by Anonymous Coward on 2013年12月12日 16時12分 (#2510996)

    組織のプライベートネットワーク内の通信を覗くためという話ですが、
    たぶんプライベートネットワーク内ではなく、外部との通信内容を覗き
    見るために使われたのでしょう。
    あくまで、覗き見した場所がプライベートネットワーク内だったという
    だけで。
    そうでなくては、Google関連のドメインが不正に使われた理由が不明。

    内部統制で社員がどんな動画を見てんだ、どんなファイルをクラウドに
    アップロードしてるんだ、というような検査をする場合にSSLを使われる
    と内容がわかりません。

    最近は内部統制はもちろん、標的型攻撃による情報盗難に対抗するため
    出口対策をとっているところも多いと思いますが、そこでもSSL通信は
    弊害となります。
    プロキシを導入したり、FirewallでHTTPSを開けていたりするところも
    多いと思いますが、標的型攻撃で送り込まれたマルウェアがSSLで外部に
    情報を流すことを防ぐことが難しくなります。

    ゲートウェイ型のウィルスチェックでも、SSL通信でダウンロードされる
    マルウェアはチェックできません。
    そのため、Webレピュテーションなどが必要になりますが、いたちごっこ。

    ここで、セキュリティ対策製品で、SSLの中間攻撃と同じ手法で通信を
    ぶんどるソリューションがいくつか出ています。
    というか、そういう機能が無いと、もはや役には立たないでしょう。

    でも、この場合は必ずしも中間攻撃するdstの証明書を偽装する必要は
    ないわけですが、Googleをわざわざ不正に使ったのは内部の調査を
    秘密裏に行おうとしたのではないか、と推測できます。

    • 単にhttp以外通さなきゃ良いんじゃないの?

      親コメント
      • by Anonymous Coward
        それだと、オンラインバンキングサイトにアクセスして取引先企業に送金する、と言った業務が安全には出来なくなる。

        1. 社内の全てのコンピュータに、「中間者攻撃用証明書」をインストールしておく
        2. プロキシサーバなり外向きのゲートウェイなりは、https通信を検出したら、中間者攻撃用証明書の元になった秘密鍵を使って、
          リクエストのあった通信先の証明書をでっち上げ、その証明書で自分自身がクライアントとhttpsで通信を開始
        3. ゲートウェイは本来の接続先に通常のhttpsで接続してデータをやりとり、クライアントに転送する

        と、やれば、社外から見ると元通り。
        社内的にも、ルータまでhttpsで保護されているので、社内のハブやらに何かを仕込んでデータを盗み出す事も出来ない。
        少なくとも、https直結の場合と同じセキュリティは保てる。

        唯一、ゲートウェイが乗っ取られると、全部の通信がだだ漏れだけど、
        まあ、これは、通信データを総チェックしたいという要望からしてしょうがない。
    • サーバ証明書をでっち上げるわけですから、少なくとも証明書のSubject(CN)を本物の証明書と合わせておかないとブラウザでホスト名不一致の警告が出てしまいます。(SubjectAltName拡張の場合もあり)

      Googleだけ狙い撃ちにしたわけじゃなく単にあらゆるドメイン宛の通信を検閲していて、Chromeが「Googleサイトの証明書なのにGoogleの認証局(Google Internet Authority)を使っていない、おかしいぞ!?」と検知しただけなのかなと。
      そのアラートが無断でGoogleにアップされるのはどうよ?という疑問はあるけど。

      親コメント
    • by Anonymous Coward

      SSL通信をぶんどるために一々ルート証明書をブラウザに入れさせなきゃいけないとかとても面倒、スマホやタブレットじゃできないのもあるし…
      名前の通ったメーカーが根回しして、ちゃんとルートからたどれる中間認証局になれるファイアウォールなりをできるだけ安価に提供してくれるとありがたいのですが。

      • by Anonymous Coward
        そのファイアウォールとやらの証明書が悪用されない担保は一体誰がするんですか・・・?
      • by Anonymous Coward

        ちゃんとルートからたどれる中間認証局になれるファイアウォールなりを

        誰がその中間認証局を署名するんだね?
        そんなルート認証局は信用性無しで、ブラウザには載らないと思う

        SSL通信をぶんどるために一々ルート証明書をブラウザに入れさせなきゃいけないとかとても面倒

        • by Anonymous Coward

          末端でやるのが無理だから、今でも通信を一度メーカーにリダイレクトして検査してもらうようなサービスがあるけど、SSLもそうするしかないかもしれないですね。ヴェリサイン社やジオトラスト社がどこかと組んでそういうサービス始めたらみなさんはどうします?

      • by Anonymous Coward
        原理上、そのルータには任意の証明書に署名する能力を持たさざるをえないので難しいでしょうね。

        その機械がハックされた場合の被害が買った人の家庭か会社内に止まるならアリでしょうけど、影響はインターネット全体に及びます。

        買った人にだけ影響するようにするには、使いやすいインストーラとかで
        PCやタブレットに専用の証明書を簡単にインストール出来る仕組みを用意する、ぐらいですかね。
      • by Anonymous Coward

        で、そのルート証明書をインストールさせなくても乗っ取りできるように中間認証局自体が偽証明書を発行したというのが今回の事件で、各ブラウザはその証明書の無効化を流す必要があったということなのじゃないですか?

    • Googleで推し進めてるSPDYな通信を覗きたかったからじゃないの?
      httpsのポート使うから普通のやり方じゃ面倒だし

  • by Anonymous Coward on 2013年12月12日 19時06分 (#2511100)

    1年前になんかあったし。DigiNator?TURKTRUST?
    Fxも更新システムを用意してほしい。

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...