インフラセキュリティの処方箋

第17回 2015年11月~ベンダによる証明書インストール再び&ASEANでセキュ リティ競技

この記事を読むのに必要な時間:およそ 1.5 分

2015年11月にかぎらず,毎月毎月悪いことはあるのですが,2015年11月は,ふたたびベンダ製PCに,ベンダによる証明書インストール(しかも秘密鍵付き)が行われていることが発覚しました。

もっともそれ以外にも,各種セキュリティイベントが行われたというのもあるので,それらから1つ,海外で行われたセキュリティイベントについても取り上げてみたいと思います。

まずは悪いことから~eDellRoot(Dell製PCにインストールされていた勝手ルート証明書)

これは,DELL製PCの一部に,ルート証明書と秘密鍵 (DSDTestProvider)がインストールされてしまうという問題であり,さらに秘密鍵を使うためのパスワードが簡易なものだったため,悪用が容易でした。

なぜこれがまずいのか?~あわやSuperfish

以前,Lenovo製PCにインストールされていた"Superfish"というアドウェアが問題視されたことがありました(実際問題でした)が,悪用可能な証明書がインストールされるという点では,SuperfishもeDellRootも同様の問題をはらんでいます。

eDellRootでインストールされるルート証明書が「信頼されているルート証明書」である場合,当該証明書に対応する秘密鍵で署名された証明書を信頼するようになります。そして,この証明書を用いるTLS通信は,当然何の疑義を抱かれることもありません。しかしながら,⁠秘密鍵がいっしょに付いていた」という事実と,⁠秘密鍵を使う際のパスワードが簡易なものであった」という事実があるため,攻撃者はこの秘密鍵を用いて,攻撃者が準備するWebサーバをSSL化するためのサーバ証明書を発行することが可能になります。

こうなると,あとは攻撃者は「そのWebサーバ」に対して攻撃対象を誘い込むようにすれば,望む攻撃をTLSセッション上で行えるようになります。

このように証明書を用いるSSLやTLSは,証明書を発行するなどの運用が厳格に行われていることが前提に安全性が担保されていますが,その前提が崩れるというところに懸念がある,というわけです注1)⁠今回の証明書は,用途が限定されない形のものだったため,コード署名にも使うことができたとされています。

現在は対応方法も公開され注2,3)⁠一段落していますが,また似たような話が出てこないことを祈るばかりです。

注1)Superfish/eDellRootが危険な理由
http://d.hatena.ne.jp/nekoruri/20150220/superfish
注2)マイクロソフト セキュリティ アドバイザリ 3119884
不注意で公開されたデジタル証明書により,なりすましが行われる
https://technet.microsoft.com/ja-jp/library/security/3119884.aspx
注3)eDellRoot及びDSDTestProvider証明書についての情報及び削除方法
http://www.dell.com/support/article/jp/ja/jpdhs1/SLN300321

Cyber SEA Game~ASEAN諸国のチームが参加したセキュリティ競技

2015年11月11日,インドネシアのジャカルタにASEAN諸国の代表チームが集まって,Cyber SEA Game(Cyber South East Asia Game)という競技が実施されました注4)⁠

注4)プレスリリース サイバーSEAゲーム2015の開催(ASEAN日本政府代表部)
http://www.asean.emb-japan.go.jp/release/2015/release15_12j.html

この競技で1位と2位をとったチームは,日本で行われるSECCON 2015 Finalへの参加をできるようになるのですが,今回はベトナムとタイのチームがそれぞれ1位と2位写真1をとっています。

写真1 Cyber SEA Gameの結果

写真1 Cyber SEA Gameの結果

この競技,Cyber SEA Gameの予選運営と決勝運営の両方で,日本からの支援も入っており,筆者もは決勝運営の支援のためにジャカルタに赴いてました写真2)⁠

写真2 Cyber SEA Game現地支援参加メンバー(写真中央:筆者)

写真2 Cyber SEA Game現地支援参加メンバー(写真中央:筆者)

こういった競技への参加や競技運営などを通じて,国際交流ができる時代になってきています。読者の皆さんも,もし興味があるようであれば,ぜひ機会を見つけて参加してみてください。

著者プロフィール

宮本久仁男(みやもとくにお)

某SIerに勤務する,どこにでもいる技術者。

OSやネットワーク技術に興味を持ち,その延長でセキュリティ技術にも興味を持って,いろんな調査や研究を手がけてます。

自分で思考を巡らしたり検証したり,というのももちろん好きで,あれこれやってます。もちろん他の人に迷惑はかけない範囲で……ですが。

博士(情報学),技術士(情報工学)。

URL:http://d.hatena.ne.jp/wakatono/

監訳書の1つ:実践Metasploit

コメント

コメントの記入