2020年12月21日 12時00分 セキュリティ

Google・Mozilla・Apple・Microsoftが「政府が国民にインストールを強制したルート証明書」をブロック



中央アジアのカザフスタンが首都・ヌルスルタンの住人に対し、「政府が認証したルート証明書」のインストールを要求したことを受けて、Google・Mozilla・Apple・Microsoftのブラウザ各社がカザフスタン政府発行のルート証明書をブロックしました。ブラウザ各社は、政府によって認証されたルート証明書がHTTPS通信の傍受に使われると指摘しています。



Apple, Google, Microsoft, and Mozilla ban Kazakhstan's MitM HTTPS certificate | ZDNet

https://www.zdnet.com/article/apple-google-microsoft-and-mozilla-ban-kazakhstans-mitm-https-certificate/





Kazakhstan spies on citizens’ HTTPS traffic; browser-makers fight back | Ars Technica

https://arstechnica.com/information-technology/2020/12/kazakhstan-spies-on-citizens-https-traffic-browser-makers-fight-back/



カザフスタンのインターネットサービスプロバイダ(ISP)は2020年12月6日以降、外国のインターネットサービスにアクセスしようとしたヌルスルタン在住のユーザーを、政府が発行したルート証明書をインストールする方法を示すウェブページにリダイレクトしています。このルート証明書をインストールしない限り、ヌルスルタンのユーザーはGoogle・Twitter・YouTube・Facebook・Instagram・Netflixといった外国のウェブサービスにアクセスできないとのこと。



Kazakhstan government is intercepting HTTPS traffic in its capital | ZDNet

https://www.zdnet.com/article/kazakhstan-government-is-intercepting-https-traffic-in-its-capital/



住人にルート証明書のインストールを強制した理由について、カザフスタン政府の当局者は「政府機関・電気通信・民間企業向けのサイバーセキュリティ演習」と説明しています。当局者によると、「カザフスタンのインターネットを標的としたサイバー攻撃が、新型コロナウイルスのパンデミック中に2.7倍に増加した」ことが演習を開始した理由だそうです。



しかし、ルート証明書はトラフィックを暗号化して保護するために用いられるものであり、大量のサイバー攻撃を防ぐ役には立たないため、海外メディアのZDNetはカザフスタン政府の説明は技術的に意味がないと指摘。ユーザーが政府発行のルート証明書をインストールした場合、政府が中間者攻撃によって通信内容を傍受できるようになってしまうことから、業界各社はカザフスタン政府の動きを危険視していました。





そして12月18日、Google・Mozilla・Apple・Microsoftのブラウザ各社が、カザフスタン政府により発行されたルート証明書をブロックすることを発表しました。これにより、Chrome・Firefox・Safari・Edgeなどのブラウザはカザフスタン政府のルート証明書を拒否するため、政府が通信内容を傍受することを防ぐことができます。



カザフスタン政府が国民のHTTPS通信を傍受しようと試みたのは、今回が初めてではありません。カザフスタン政府は2019年にも政府発行のルート証明書をインストールするように強制しましたが、この時もGoogleとMozillaなどがルート証明書をブロックし、カザフスタン政府の試みは失敗に終わっています。



GoogleとMozillaが独裁国家の認証するルート証明書をブロックすると発表 - GIGAZINE





インターネット上の検閲について調査するCensored Planetは、カザフスタン国内で通信内容の傍受を経験しているユーザーの割合が、2019年の7%から2020年の11.5%へ増加していると指摘しました。



なお、Mozillaは今回のブロックによる影響を受けるカザフスタンのユーザーに対し、VPNやTorブラウザを使用することを推奨しています。