Mozillaブラウザに証明書関係の欠陥みつかる

　より安全な選択肢としてMozillaベースのブラウザに注目するユーザーは、乗り換えをあと1週間待ったほうが良いかもしれない。

　それは、ブラウザの証明書処理方法に関する深刻な欠陥が2つあることを、オープンソースブラウザの開発グループであるMozilla Foundationが認めているためだ。証明書とは、ウェブサイトの認証処理に使うデジタル書類のこと。

　問題のコードは、同ブラウザがNetscapeに所有されていた時代に書かれたものだったため、この脆弱性はエンジニアの予想外だった、とMozillaでは話している。

　Mozilla FoundationのエンジニアリングディレクターChris Hofmannは、「このセキュリティコードは6〜7年前から存在しており、深刻なバグはNetscape 4.0のときに解決されていた。深刻な問題はかなり長い間見つかっていなかったので、今回は驚いた」と語った。

　証明書処理に関する欠陥は、Mozilla Foundationにとって厄介な時期に発見された。セキュリティ専門家が、市場を独占するMicrosoftのInternet Explorer（IE）に代わる、より安全な選択肢としてOperaなどと共にこのブラウザを推奨していた。

　Mozillaや、IEのライバル各社は、自分たちの方が根本的に信頼できるセキュリティモデルを持っていると主張する一方で、IEのセキュリティホールが悪用されるのは、単純にMicrosoftが市場のリーダーであるからだということも認めている。

　2つあるバグのうちの1つは、研究者のEmmanouel Kellinisによってウェブに掲載されたほか、セキュリティ情報を扱うBugtraqというメーリングリストでも公表されている。内容は、ウェブサイト制作者は悪意を持てば、自分のサイトを、銀行や大企業などの信頼できるサイトであるかのように見せかけて、サイト訪問者をだますことができるとういもの。

　標準的なウェブシステムでは、サーファーが訪問したウェブサイトとは違うところからコンテンツを引き出すことがあり、このバグはこうした仕組みと関係している。

　信頼できるウェブサイトがサードパーティからコンテンツを引き出した場合、そのコンテンツはブラウザのキャッシュに保存される。こうしたコンテンツをユーザーに表示する場合、ブラウザは鍵の形をしたセキュリティアイコンをロックされていない形に変更し、ユーザーに警告する。

　しかし、Mozillaのキャッシングシステムには問題があって、ほかのサイトからコンテンツを読み込んでいるときもロックされた状態の鍵アイコンを表示してしまい、悪質なサイトは信頼できるサイトのセキュリティ証明書を表示できてしまう。

　これを悪用すれば、自分が制作したサイトをeBayやBank of Americaといった信頼できるサイトのように見せかけることができ、ユーザーからクレジットカードや身元情報を盗み出すことができてしまう。