hylom 曰く、

ホスティングサービスやドメイン名取得代行、認証局などを手がける米GoDaddyは10日、SSL証明書発行の際のドメイン所有者確認システムのバグが判明したため、バグを修正し、発行済み証明書8,850件を失効させたことを明らかにした(GoDaddy Blog - The Garbageの記事、徳丸浩の日記の記事、 ITmediaエンタープライズの記事)。

徳丸浩氏の日記が詳しいが、GoDaddyではSSL証明証発行申請者にランダムなコードを発行し、申請者がこのコードを含むファイルを対象ドメインのサーバーの指定位置に配置したことを確認することで、申請者をドメイン所有者として認証する仕組みを採用している。

しかし、修正前のシステムではWebサーバーのレスポンスコードを確認せず、コードをそのままファイル名にするよう指定していたため、サーバーの設定によってはファイルが設置されていないにもかかわらず、認証成功の扱いになることがある。たとえば、404エラーとともに「The requested URL /<コード>.html was not found on this server. 」というレスポンスが返された場合、レスポンスにコードが含まれるため、ファイルが設置されたものと認識してしまう。これにより、ファイルを設置しなくても証明書を入手することが可能だったという。

問題が発生しはじめたのは2016年7月29日とのことで、この期間に発行された証明書を失効させる手続きが取られたそうだ。

なお、この期間中に発行された証明書のうち、申請者を正しく認証しないまま発行された証明書は2%程度とのことだ。

モバイルフォレンジックを専門とするCellebriteのサーバーが不正アクセスを受け、情報が流出したとMotherboardが報じている。Motherboardはハッカーから900GBのデータを入手したという(Motherboardの記事[1]、 [2]、 Cellebriteのプレスリリース)。

Cellebriteは2015年12月に米国で発生した銃乱射事件の犯人が使用していたiPhone 5cのロック解除技術を持つ企業として注目を集めた。実際にはこのiPhone 5cのロック解除にCellebriteの技術は使われなかったとも報じられているが、米国ではFBIなどの連邦捜査機関だけでなく、各州の警察もCellebrite製品を利用しているという。

世界各国の捜査機関が導入し、テロ事件の捜査などで使われているというCellebrite製品だが、バーレーンでは拷問にかけた反体制活動家を起訴するのに使われたと12月にThe Interceptが報じている。

Motherboardが入手したデータにはCellebriteのユーザーアカウント情報やサポートチケットなどが含まれているという。これらのデータからMotherboardでは、バーレーンのほかにもロシアやトルコ、UAEなど抑圧的な政権下の政府機関がCellebrite製品を購入している可能性を指摘する。

Cellebriteでは抑圧的な政権に製品を販売しているかどうかについて回答を拒否しており、同社の重役もその質問には答えられないとBBCのインタビューで述べている。しかし、CellebriteのEULAには人権尊重に関する言及はなく、ジャーナリストなど特定の人々への使用も禁じていないとのこと。

Cellebriteではライセンス管理システムデータベースのバックアップを保存したWebサーバーが不正アクセスの被害にあったことを認めたうえで、既に新しいユーザーアカウントシステムに移行しているため、流出したのは基本的な情報のみであり、ユーザーに重大なリスクをもたらすものではないとの見解を示している。