今週初めの記事で、不正取得した秘密鍵とソーシャルエンジニアリングを使って手に入れた有効な暗号証明書を販売していたハッカーの話をご紹介しましたが、昨日、Trustico と DigiCert の間で秘密鍵をめぐる激しいやり取りが行われていたことがわかりました。Trustico が DigiCert に証明書の失効要求を提出したのは、新しいパートナーである Comodo の認証局への顧客の移行を進めるためだったようです。状況が少し込み入っているため、これまでの出来事を時系列で振り返ってみることにしましょう。

• 2017 年 9 月 11 日
  Google が、証明書の発行に関する認証局の規則に Symantec が違反したとして、Symantec 発行の証明書の信頼を停止すると発表。
• 2017 年 10 月 31 日
  DigiCert が、Symantec の認証局サービスである Symantec Website Security を買収。
• 2018 年 2 月 2 日、Trustico が DigiCert に対し、Symantec によって署名された 50,000 件の証明書の失効要求を送信。DigiCert は、証明書の秘密鍵が侵害された場合にのみ取り消しを要求できるとする業界ルールを根拠に、この要求を拒否。
• 2018 年 2 月 28 日
  Trustico の CEO が、Trustico の Web サイトから生成された証明書の 23,000 の秘密鍵を電子メールで DigiCert に送信。これにより、DigiCert には、業界ルールに従って関連する証明書を 24 時間以内に無効にする義務が生じる。
• 同日
  DigiCert が影響を受けた Trustico の顧客に対し、Trustico の行為によって証明書を失効させなければならなくなったと知らせる電子メールを送信。
• 同日
  Trustico が、失効を要求した理由を説明する声明を発表し、Symantec Certificate Authority によって発行された証明書が実際には流出したわけではないと説明。

「我々は、失効の手続きを進める目的で秘密鍵を DigiCert の要求に提出しましたが、どの段階においても、秘密鍵が実際に流出したとは考えておりません。」

• 2018 年 3 月 1 日
  svblxyz という Twitter ユーザが、Trustico の Web サイトに対するコマンドインジェクション攻撃を発見。その後、Trustico の Web サイトがオフラインになる。

23,000 件の秘密鍵の所有者である企業は不幸にも、両社の争い事に巻き込まれることになりました。秘密鍵で作られた 23,000 件の署名付き証明書は正式に無効になり、今日現在で使用できない状態です。DigiCert は業界のルールに従い、Symantec が発行した残り 27,000 件の Trustico 証明書の取り消しを拒否しました。

インターネット全体で Web サイトの HTTPS 暗号化への全面的な移行が進んでいる中で、このような不十分な実装に関する問題が続けば、セキュリティそのものに対する誤った認識が広がる恐れがあります。どのような Web サイトを利用する場合であっても、機密情報の入力前には必ず、どのようなサイトであるのかをよく確認することが重要です。–Trevor Collins