Chrome・Safari・Firefoxでルート認証局として使用されているTrustCorにアメリカの諜報機関とのつながりがあったことが発覚

デジタル証明書を発行する認証局のうち、厳しい審査の下で自らの正当性を証明できる認証局が「ルート認証局」です。このルート認証局の1つとして知られているTrustCorに、アメリカの諜報機関や法執行機関とのつながりがあることが指摘され、認証システムの乱用があった可能性が懸念されています。

TrustCor Systems verifies web addresses, but its address is a UPS Store - The Washington Post
https://www.washingtonpost.com/technology/2022/11/08/trustcor-internet-addresses-government-connections/

This tiny company could help the government get around browser security - The Verge
https://www.theverge.com/2022/11/8/23447338/chrome-safari-firefox-verify-website-us-intelligence

TrustCorはGoogle、Apple、Mozillaなどの技術系企業も利用するルート認証局です。パナマに残された記録文書によると、TrustCorはスパイウェアを開発していたアメリカの企業と同じ役員、エージェント、パートナーと関係していることが示されているとのこと。

その企業の名前は明かされていませんが、企業の関連会社として「Packet Forensics」という名前が挙がっています。Packet Forensicsはネットワークの監視会社として知られており、10年以上にわたってアメリカの政府機関に通信傍受サービスを販売してきたとされています。

さらに、TrustCorのもう1つのパートナーとして、レイモンド・サウリノという人物が保有する企業があることも指摘されました。サウリノはかつてPacket Forensicsの広報担当者としても活躍しており、近年ではアメリカ国防総省のために1億7500万以上のIPアドレスを管理していた企業「Global Resource Systems」の広報担当として名を連ねているとのこと。国防総省がなぜIPアドレスの管理を委託したのかは明らかになっていませんが、当時は「潜在的脆弱(ぜいじゃく)性の特定」などと説明されていました。

このような関連会社とのつながりが暴露されたことから、海外メディアのThe Washington Postは「この結果は、TrustCorがアメリカの監視活動を推進するために権力を乱用したのではないかという懸念を抱かせるものです」と述べました。

このほか、TrustCorはMeasurement Systemsというパナマの企業ともつながりがあったことが分かっています。Measurement Systemsは以前「アプリにコードを仕込んで個人情報を採取していた」と報じられた企業で、コードが含まれたアプリはGoogleにより削除されています。

The Washington PostがTrustCorの住所を調べたところ、TrustCorとは無関係な企業のものであることが判明しており、電話番号やメールアドレスも機能していないそうです。

国防総省はThe Washington Postのコメント要請に応じませんでした。一方でTrustCorの幹部は「政府の情報要求に協力したことも、第三者が顧客の監視を行うことに協力したこともありません」と述べたとのこと。この報告を受け、Mozillaは「深く懸念しています。ただ、TrustCorが発行した証明書が悪用されているという証拠はまだありません。さらなる調査、動向、TrustCorの回答に応じて、Mozillaはユーザーを潜在的な被害から守るために必要な措置を取るつもりです」と述べました。