ネットワークセキュリティをやっている人で、デジタル証明書（以下証明書と略記）や暗号について詳しい方は少ないように思う。私自身もその一人なのだが、マイクロソフトに入ってからは、思わぬ形でかかわることが増えている。最近では、昨年(2012年) 5月に見つかったFlameと呼ばれるマルウエアが、マイクロソフトの証明書を偽装していたことから、この対応に追われることになった。

Flameは、Stuxnet、Duquに続く第三のStuxnetと呼ばれるマルウエアで、偽造した証明書を利用してイントラネット内でWindows Updateを悪用した感染を行ったと言われている。ちなみにStuxnetとDuquも証明書を利用していたが、どちらも台湾の同じビルにある会社の証明書が使われていたことから、攻撃者またはその協力者は物理的に侵入をして発行したものと考えられている。

オランダのデジタル証明書発行事業者DigiNotarの事件は衝撃的だった。2011年7月に発生したこの事件では、500枚以上の偽証明書が発行されたといわれている。サーバー証明書が偽造された場合でも、本来、DNSが正しいIPを指していれば、深刻な問題は発生しないのだが、このケースでは実際に悪用が行われていたと考えられている。
問題は、イランのGmailの利用者が、サーバーがいつもと違うIPアドレスなのに、正しい証明書を持っていると指摘したことがきっかけで発覚した。その仕組みは、イラン国内のDNSサーバーが偽のIPアドレスを指すように設定され、そのサーバーに偽造したサーバー証明書を入れることで、SSL通信を盗聴するというものである。いわゆるMan in The Middleアタックが行われていたと考えられている。
この事件が契機となって、問題解決のためにDigiNotarのルート証明書に対する失効処理が行われ、その結果DigiNotarは破産することとなった。

証明書への攻撃は、さまざまな形で行われている。例えば、通称Comodoハッカー（彼はDigiNotarへの侵入もおこなったと声明を出している）は、デジタル証明書発行事業者Comodoの証明書の再販業者に侵入し、7ドメイン（9枚）の証明書を発行している。Comodoハッカーは、再販業者が使っている証明書を発行するプログラムに、平文でIDとパスワードが書かれていることを見つけ、これを使って正規の手続きに則って証明書の発行を行ったとされる。

ここ数年、これらの例のように、暗号や証明書といったセキュリティの基盤技術に対する攻撃が目につくようになっている。マイクロソフトはそういった攻撃に対してコンピュータの安全を確保するために、様々な対応を進めてきた。上記の事件も含む詳しい話や、マイクロソフトが行った証明書の無効化措置などについては、ここでは書ききれないので、近日JNSAのWebで公開される「しんだん」に詳しく書く予定である。ぜひそちらも参照していただいて、正しい設定のWindowsを使っていただければと思う。