×
セキュリティ

中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明

by Barney Moss

無料でSSL証明書を発行してくれることで、多くの自宅サーバーユーザーに重宝されている中国最大級の認証局「沃通(WoSign)」が、「偽物の証明書」を大量に発行していたことが明らかになりました。

The story of how WoSign gave me an SSL certificate for GitHub.com | Schrauger.com
https://www.schrauger.com/the-story-of-how-wosign-gave-me-an-ssl-certificate-for-github-com


Thoughts and Observations: Chinese CA WoSign faces revocation after possibly issuing fake certificates of Github, Microsoft and Alibaba
http://www.percya.com/2016/08/chinese-ca-wosign-faces-revocation.html

SSLは「Secure Socket Layer」の略。情報を暗号化して送受信を行うことで、ネットで個人情報やクレジットカード番号のような重要なデータを安全にやりとりすることができます。

たとえば、ネットショッピングサイトであるAmazon.co.jpにFirefoxでアクセスすると、URLが「https://www.amazon.co.jp」というように「https」から始まっていて、その左側に鍵(南京錠)のマークがついています。これは、サイトがSSLを導入していることを示します。


サイトの側では、SSLサーバ証明書を発行してもらって、サーバへ保存・インストールすることでSSLを導入できます。この証明書を発行してくれる認証局にシマンテックやグローバルサイン、そして中国系のWoSignがあります。WoSignは3年間無料で使える「WoSign Free SSL Certificate」で、自宅サーバーにSSLを導入したい人らに重宝されてきました。

ところが、WoSignには、サブドメインの管理権があるだけで、ベースドメインの証明書を発行できるという脆弱性があったことが判明しました。

これは、セントラルフロリダ大学医学部のサイト管理を行っていたStephen Schrauger氏が偶然発見したもの。Schrauger氏は、医学部公式サイト(http://med.ucf.edu)をSSL対応にする際、経費節減になるかもと思って、2015年春に無料SSL証明書の発行を開始したWoSignで試しに証明書を取ることにしました。

UCF College of Medicine
https://med.ucf.edu/


「med.ucf.edu」に対しての証明書取得は問題なく行えたのですが、サブドメインに対して「www」を追加しようと申請する際、Schrauger氏は対象ドメインを医学部の「www.med.ucf.edu」ではなく、誤って大学全体にあたる「www.ucf.edu」と入力してしまいました。

Schrauger氏は「医学部のサイト(med.ucf.edu)の管理者」であって、「大学のサイト(ucf.edu)の管理者」ではなく、「ucf.edu」および「www.ucf.edu」には触れることができません。自分が大学のサイト全体を対象にしたと気付いたSchrauger氏は間違いに気付いたそうですが、WoSignは「med.ucf.edu」ではなく「ucf.edu」の証明書を発行してきました。

「まさか」と思ったSchrauger氏は、ユーザー名のサブドメインが与えられるGithubで検証を実施したのですが、その結果、「github.com」「github.io」に対する証明書を取得することに成功。WoSignの証明書発行に大きな穴があり、「偽物の証明書」を発行する状態であることがわかりました。

この件を報告すると、Schrauger氏の取得した「github.com」「github.io」に対する証明書は無効にされましたが、多くのユーザーによって、WoSignがいまだに「偽物の証明書」を無効にしていないことがわかっています。なお、この問題はすでに14ヶ月以上も放置されているそうです。

Slashdotの中国語版であるSolidotによると、Mozillaの開発者Gervase Markham氏のセキュリティメーリングリスト内で、WoSignの証明書取り消しを含めた措置が話し合われているとのこと。

Solidot | Mozilla考虑对沃通CA采取行动
http://www.solidot.org/story?sid=49448

なお、WoSignは中国最大級の証明書発行者であり、中国のSSL対応サイトの3つに1つはWoSignの証明書を利用しているため、もしWoSignの証明書が無効になると大きな問題が発生すると考えられています。

・関連記事
無料で証明書を発行してHTTPSの導入をサポートする「Let’s Encrypt」がベータ版から正式版に - GIGAZINE

SSL証明書を発行する企業が証明書を偽造する悪質なアドウェア「Privdog」を販売していたことが判明 - GIGAZINE

HTTPSで保護されているはずの通信を傍受できる脆弱性「Forbidden Attack(禁断の攻撃)」はVISA関連サイトなど複数で利用可能 - GIGAZINE

Lenovo製PCに入っている極悪アドウェア「Superfish」はどれだけヤバイのか? - GIGAZINE

DellがeDellRootとは別の証明書にもセキュリティ上の脅威があることを正式に認める - GIGAZINE

Dell製ノートPCが同一のルート証明書&秘密鍵を搭載していて中間者攻撃を受ける危険性あり - GIGAZINE

in セキュリティ, Posted by logc_nt