トルコの認証局、中間CA証明書を誤発行--グーグルやMS、対応を明らかに

　GoogleとMicrosoftが米国時間1月3日にそれぞれ明らかにしたところによると、トルコに拠点を置くある認証局（CA）が2012年12月にセキュリティ証明書を「誤って」発行したことで、その電子証明書の交付を受けたある組織によって、さまざまなGoogleサイトへのなりすましが可能な偽の証明書が作成されてしまったという。

　GoogleのエンジニアであるAdam Langley氏のブログ投稿によると、「Google Chrome」は12月24日、「*.google.com」ドメイン向けの無認可セキュリティ証明書を検出し、ブロックしたという。同氏によると、この証明書のブロック後、Googleによる調査が行われ、問題の証明書がトルコの認証局であるTURKTRUST傘下の中間認証局により発行されたものであると特定できたという。

　ウェブサイトの正当性を証明する電子ドキュメントである証明書が不正に作成されると、フィッシング攻撃や中間者攻撃、コンテンツの詐称時に悪用されかねないため、大ごとである。

　GoogleがTURKTRUSTやその他のブラウザベンダーに警告を行ったところ、TURKTRUSTは2011年8月に、標準のSSL証明書を発行すべき組織に対して誤って2つの中間CA証明書を発行していたと報告してきたという。

　Microsoftも同社のセキュリティアドバイザリブログへの投稿において、TURKTRUSTからの証明書をブロックしたと述べている。この投稿には「TURKTRUSTは誤って2つの下位認証局（*.EGO.GOV.TRとe-islam.kktcmerkezbankasi.org）を作成した。その後、『*.google.com』向けの偽のデジタル証明書を発行するための下位認証局として*.EGO.GOV.TRが用いられた」と書かれている。

　Microsoftによると、「Windows Vista」およびそれ以降のWindows製品を使用しているユーザーは、2012年6月以降の証明書信頼リストをインストールしている限り、何の対処も必要ないという。「Windows 8」「Windows RT」「Windows Server 2012」に加えて「Windows Phone 8」搭載デバイスは自動的に保護されるという。

　Langley氏はまた、Googleが2012年12月に実施した対策により、Chromeユーザーに差し迫っていたセキュリティ上の問題は解決されたものの、1月に同ブラウザを再びアップデートし、TURKTRUSTが発行した証明書に対するExtended Validationのステータスを無効化する予定だと述べている。

　同氏は最後に、Googleが「さらなる議論と、慎重な検討を行った後、追加の対策を実施するという決断を下す可能性もある」と警告している。

　Mozillaはレビューの結果が出るまで、2つのTURKTRUST証明書を無効にするとともに、TURKTRUSTのルート証明書の組み込みを停止している。