2011年デジノター事件
2011年デジノター事件とは、オランダの認証局が不正にSSL証明書を発行していた事件。SSL通信に保障されてきた通信主体の同一性は、偽証明書の流通によって信用を失った。
概要[編集]
2011年8月29日、オランダの認証局デジノター(DigiNotar)が不正アクセスを受けてSSL証明書を不正に発行していた事が明らかになった[1]。これによると、7月19日に不正アクセスを受け500以上の偽証明書を発行していたとされる。極めて憂慮すべき事態となり、一部メディアはその重要性を訴えている[2]。この結果30万人以上がパスワードを盗まれたとされる[3]。その後、元政府系機関であったデジノター社は巨大な負債を抱えて倒産した[4]。
詳細は隠匿されているものの、犯人は職員を買収したり、認証局へ物理的に侵入したりしたとされている。事件は政府系機関が関与しており、また、証明書が一部転売されている事から、インターネットの商用利用が多い西側ではない国家機関が疑われているが、真犯人は不明である。事件の影響は政府系機関など極めて限定されたもので、実際に民間に影響を及ぼす前に鍵は回収され、現在は厳重に保管されているとの報道もある。
構造[編集]
インターネットの技術たるTCP/IPでは自由な通信の元に設計されており、当初の企画では不正な利用者を想定していなかった。そのため、オープンで自由であるが故に、発展をもたらしたものの、同時に悪意ある利用者がいる場合セキュリティーが(自由故に)甘いという現実に突きつけられた。オープンであるが故に、仮に途中経路のルーターなどをハッキングされた場合は、通信が筒抜けとなり、またDNSなどを操作すれば、アクセス先を偽物に偽装する事が可能となる。これらに対処するために”自由なインターネット”を規制すれば、同時に安全と引き換えて”自由さ”を失うこととなり、利便性が低下しインターネットの魅力が落ちる事となる。
そこで、自由を担保しつつ安全を確保しようとSSL通信という技術が生まれた。それは例えば、合言葉のやり取りを暗号化された電文で複数回行い、暗号を復号できねばわからない回答を用意する事により、お互いが本物であると認証するといった方法である。民間のインターネット上におけるクレジットカードなどの認証情報や電子政府などのアクセス先が本物であるかなどの認証すべてはSSL通信で行われている。
紀元前に発明されたもっとも単純な暗号シーザー暗号を基礎技術として、毎年暗号化技術は発展しており、第二次世界大戦で使われたエニグマは、暗号化の種類だけで10億を超え、「手計算では解読不可能」と思われていた。しかし、コンピューター技術の発展で簡単に解読できるようになると、さらに各国は技術を競い、暗号化技術を研究するようになる。その中で開発されたSSL通信は、インターネット通信の安全を確実にしたものと考えられていた。
暗号電文が破られ、途中経路がハッキングされた場合には、通信の信頼性が失われる事となる。例えば、Microsoftに対するWindowsの自動アップデートの際に、その通信先が本当にMicrosoftであるか確認する作業はSSLによる暗号化通信によって保障されている。仮にこれを偽装できれば、Windowsの自動アップデートに紛れて、好きなプログラムをクライアントにインストールする事が可能となり安全性は破られる。あるいは、GoogleなどにアクセスしてGoogleメールなどのID/パスワードを打ち込む際に、認証を騙せたら、偽サイトに誘導してID/パスワードを盗むことができる。
