証明書偽造事件からの信頼回復への取組み～ インターネットの安全性を守るために～

証明書偽造事件からの信頼回復への取組み ~ インターネットの安全性を守るために ~ IPA 技術本部セキュリティセンター暗号グループ神田雅透 20120509-11 SecurityEXPO2012 1

SSL/TLS: インターネットビジネスでの必須ツール 通信の暗号化 接続先サーバの確認 Client ( ブラウザ ) デジタル署名 SSL サーバ証明書の検証 Pre Master Secret 生成 サーバ SSL 証明書の公開鍵で暗号化 Master Secret 生成 Session Key 生成 { 利用可能な暗号アルゴリズム一覧 } { 使用する暗号アルゴリズム, SSL サーバ証明書 } { 暗号化された Pre Master Secret} 公開鍵暗号 { ハンドシェイク終了通知 } { ハンドシェイク終了通知 } 暗号化データ通信 Server (Web サーバ ) 暗号アルゴリズムの決定 秘密鍵で復号 Pre Master Secret 生成 Master Secret 生成 Session Key 生成 共通鍵暗号 + ハッシュ関数 20120509-11 SecurityEXPO2012 2

SSL サーバ証明書は 騙されないための保険 公開鍵と秘密鍵の対応関係を保証するスキーム エンドエンティティ (End Entity) SSL/TLS で使うなら SSL サーバ証明書 Certification Signing Request (CSR) 公開鍵証明書 C 登録局 Registration Authority (RA) ( 広義の意味での ) 認証局 Certification Authority (CA) ( 狭義の意味での ) 認証局 Certification Authority (CA) 証明書利用者 (Relying Party) LDAP/OCSP リポジトリ (Repository) 公開鍵証明書失効リスト C 20120509-11 SecurityEXPO2012 3

SSL/TLS を使う時に意識しないのはなぜ? 実際にはブラウザが自動検証する 登録されている 信頼できる認証局証明書 をベースに判定 設定次第でリアルタイム検証も可能 20120509-11 SecurityEXPO2012 4

認証局からの不正発行は本来あってはならない なんらかの理由で有効期限内の SSL サーバ証明書を失効させることは 通常業務 の範囲内 https://.com/ へアクセス サーバ証明書 A NG OK 正規の SSL/TLS サーバ https://.com/ サーバ証明書 A 認証局の管理下にない SSL サーバ証明書が不正発行される事態は業務停止にも相当する 緊急事態 https://.com/ へアクセス サーバ証明書 A OK 正規の SSL/TLS サーバ https://.com/ サーバの真偽判定不能! < GPKI の CP/CPS > サーバ証明書 A? OK サーバ証明書 A 偽 SSL/TLS サーバ https://.com/ サーバ証明書 A 20120509-11 SecurityEXPO2012 5

Comodo Hacker って何者? 米国などが主導するようなインターネット社会や情報化社会を否定 IT 基盤に打撃を与えることが目的 イラン在住の21 歳の一匹狼のクラッカー と自称 イラン政府や軍とは無関係 と主張 イラン核問題をはじめとする イラン政府やイラン国民に対する米国やイスラエルの攻撃に対する報復を示唆 イラン反体制派組織に恐怖を与え イラン国民 核技術者 大統領の守護者 を自任 DigiNotarを狙ったのはオランダへの報復と主張 Stuxnetでイランの原発が止まったのは米国の陰謀と主張 少なくともさらに3つ以上のCAに対して攻撃が成功? 同一人物の攻撃であることの痕跡をあえて残している 20120509-11 SecurityEXPO2012 6

Comodo のケース 不正 SSL サーバ証明書が通常の手続きに則って発行 Comodo RA の審査を不正にすり抜けた結果 見掛け上は正当な偽 CSR に基づいて 不正な SSL サーバ証明書を正規に発行 2011 年 3 月 15 日 Comodo RA に存在するユーザアカウントをクラック ( 主にイランに割り当てられている IP アドレスが使われた ) クラックしたユーザアカウントを悪用して 見掛け上は正当な偽 CSR を 9 つ (7 ドメイン ) 不正に作って SSL サーバ証明書の発行を申請 不正発覚後 緊急対応を実施 エンドエンティティ (End Entity) Certification Signing Request (CSR) 公開鍵証明書 C 登録局 Registration Authority (RA) ( 狭義の意味での ) 認証局 Certification Authority (CA) Comodo CA は正当な CSR と誤認して処理 20120509-11 SecurityEXPO2012 7

DigiNotar のケース 不正 SSL サーバ証明書が CA 機能を乗っ取られて発行 EV-SSL サーバ証明書発行用 CA を含め 少なくとも 6 つの CA ( 疑いを含めると 30 個の CA) に不正侵入され 不正 SSL サーバ証明書を発行 2011 年 7 月 19 日に 128 枚 20 日に 129 枚発行されたのを含め 少なくとも合計 531 枚の不正 SSL サーバ証明書が発行されていた 2011 年 6 月 17 日から今回の攻撃が始まっていたことを把握 事件報道されるまでの 5 週間 事実を隠ぺいし続けた エンドエンティティ (End Entity) Certification Signing Request (CSR) 公開鍵証明書 C 登録局 Registration Authority (RA) ( 狭義の意味での ) 認証局 Certification Authority (CA) DigiNotar CA に不正侵入して処理 20120509-11 SecurityEXPO2012 8

普段なら実害は少ない はずなのだが https://.com/ へアクセス SSL 通信 (HTTPS) 異常検知不可能 サーバ証明書 F C サーバ証明書検証成功 DNS 改ざん DNS < ポイント > DNS 改ざんにより偽の SSL/TLS サーバに誘導 正規の SSL/TLS サーバ https://.com/ サーバ証明書 F サーバ証明書 C 不正発行された 正規の証明書 偽の SSL/TLS サーバ https://.com/ 正規の証明書 認証局 認証局 不正アクセス イラン国内で 盗聴行為 に悪用された可能性がある 攻撃者 イラン周辺で不正発行されたSSLサーバ証明書に対するOCSP リクエストが多発 不正発行されたSSLサーバ証明書に Googleのほか イスラエル諜報特務局 MI6 CIA 等の諜報機関が含まれた 20120509-11 SecurityEXPO2012 9

不正 *.google.com 証明書の OCSP リクエスト 20120509-11 SecurityEXPO2012 10

不正 *.google.com 証明書の OCSP リクエスト 20120509-11 SecurityEXPO2012 11

不正 *.google.com 証明書の OCSP リクエスト 20120509-11 SecurityEXPO2012 12

不正 *.google.com 証明書の OCSP リクエスト 20120509-11 SecurityEXPO2012 13

PKI の危機? 認証局のずさんな運営管理と見過ごした監査体制 ~ 認証局の水準と監査品質の均一性への懸念 ~ あまりにも重大な失態を繰り返した DigiNotarの対応 短期間に不正 SSLサーバ証明書の発行 失効処理が繰り返されていたにも関わらず 根本的な対策を取らなかった 不正発覚後も緊急対応を取らなかった CP/CPS 違反もしくはCP/CPS 自体に重過失があったことを強く疑わせる運用管理 DigiNotarの業務停止破産手続き開始 WebTrust for CA 認証制度の信頼性への問題 オランダ監査機関も問題を指摘できず 20120509-11 SecurityEXPO2012 14

認証局の信頼回復に向けた取り組み 認証局が不正な証明書の発行を許してしまう 監査体制の不備やインフラ投資などが不十分であったことが原因 Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates を CA Browser Forum が策定 CA Browser Forumには 国内外の主要な認証局やブラウザベンダが参画 2011 年 11 月 22 日採択 2012 年 7 月 1 日発行 認証局が証明書を発行する際に必要な技術 認証 ライフサイクル管理 監査等の必須事項 ( 現状でのベストプラクティス ) を取りまとめたもの 20120509-11 SecurityEXPO2012 15

Baseline Requirements に記載された主な観点 不正 SSLサーバ証明書の悪用防止対策の強化 FQDNまたはIPアドレスによるコントロール下にあるかの確認予約アドレス プライベートドメイン名への証明書の発行停止 ( 有効期限 2015 年 10 月まで ) と強制失効 (2016 年 10 月 1 日付け ) 申請に対するチェック機能の強化 有効期間の短縮 2012 年 7 月以降は最長 60カ月 2015 年 4 月以降は原則最長 39カ月 審査手続きの明確化 厳格化 ( 審査に必要な情報の統一化 ) 発行処理の自動化禁止 オペレータによる直接コマンド打ちこみによる発行処理 複数要素認証の要求 コンプライアンスの明確化 24 時間 365 日体制による緊急時対応 24 時間以内の失効処理が必要な事由の明確化 証明書管理プロセスに含む事項の明確化 RAなど外部委託先 下位 CAを含む 信頼性確保はCAの責任 20120509-11 SecurityEXPO2012 16

情報セキュリティの脅威に対する意識調査 そもそもユーザのリテラシーってどの程度のものなの? 詳細については http://www.ipa.go.jp/security/fy23/reports/ishiki/index.html 20120509-11 SecurityEXPO2012 17

脅威に対する 問題意識 はあまり差がない だが 情報セキュリティに関する攻撃の脅威度 情報セキュリティに関する問題意識 20120509-11 SecurityEXPO2012 18

脅威に対する 行動 となると明らかな差が 情報セキュリティ対策の実施状況 現状は? 今後は? 20120509-11 SecurityEXPO2012 19

現実にセキュリティリテラシの問題も無視できない そもそも https:// や 南京錠 表示を確認しないで個人情報を入力してしまう顧客も少なくない 大手百貨店が運営するオンラインショッピングサイトでサーバ設定ミスにより SSL が動作しないまま運用 該当ページ カタログ申し込みページ 対象カタログ 通信販売 中元 歳暮 おせち ギフトの各カタログ 該当期間 平成 22 年 5 月 19 日 ~ 平成 23 年 3 月 2 日 該当件数 7,444 件 6,064 名 該当個人情報氏名 住所 電話番号 メールアドレス フィッシングサイトへの誘導 遷移先 HP は http:// アドレス つまり 金銭目的であるなら Comodo hacker のような手の込んだ攻撃をする必要はない 20120509-11 SecurityEXPO2012 20

まとめ : みんなで守るインターネットの信頼性 認証局からの不正発行はあってはならない 事件ではある が 個人情報を入力するときは https:// や 南京錠 表示を確認ブラウザ / 証明書関連へのセキュリティパッチは必ず当てよう SSL/TLS 通信のときは https:// から始まる EV-SSL サーバ証明書を使っていると 緑色のバーに変わる EV-SSL サーバ証明書を使っていると組織名を表示 SSL/TLS 通信になると 南京錠のマークを表示 注意 : アドレス名を確認 というのは効果的な対策とはいえない ( https や南京錠マークの確認 より アドレス名の確認 のほうがはるかに難しい ) SSL/TLS 通信のときは https:// から始まる EV-SSL サーバ証明書を使っていないと 白色のバーのまま SSL/TLS 通信になると 南京錠のマークを表示 EV-SSL サーバ証明書を使っていないと 組織名は表示されない 20120509-11 SecurityEXPO2012 21

安心 安全な 頼れる IT 社会 を目指して