偽のデジタル証明書により Internet Explorer のセキュリティが侵害される

おそらくこれは、今は注目されないニュースの 1 つですが、この問題に対して行動がとられなければ、もっと話題になるでしょう。 Ars Technica で読めるニュースの中で、Internet Explorer をまだ使用している Windows コンピュータのセキュリティが、不正なデジタル セキュリティ証明書によって大きく損なわれる可能性があることがわかりました。最初の偽のデジタル証明書は 6 月 25 日に検出されました。これらの証明書は、ブラウザがアクセスする Web ページが、DNI のように指定されたとおりのものであり、信頼できるものであることをブラウザに保証するものです。このギャップにより、たとえば、証明書を使用して、実際には安全な Web サイトにアクセスしていないにもかかわらず、安全な Web サイトにアクセスしているかのように見せることができます。これにより、悪意のあるソフトウェアが読み込まれる可能性があります。非常に深刻な話題で、数か月前の話題とほぼ同じくらい深刻です。

ここで論理的な疑問は、これらの偽の証明書はどこから来たのかということです。この質問をすると、悲劇の大きさが本当にわかります。約 1 週間前、Google は自社のドメインのいくつかに関して違法な証明書が使用されていることを認識しました。これらの認証情報は、同じくインドの CCA (認証局管理者) に依存する中間認証局であるインドの NIC (国立情報センター) によって発行されたものとなります。後者は、Microsoft ルート ストアによって信頼されます。これは、Internet Explorer およびその他の Windows アプリケーションが、暗号化されたトラフィックを必要とする銀行、電子メール プロバイダー、およびその他のオンライン サービスからの TLS 証明書を処理し、その信頼性を証明するために依存するライブラリです。 3 つの証明書は Google ドメインに関連しており、1 つは Yahoo に関連していましたが、どれだけのデジタル証明書が不正であるかはまだ正確にはわかっていません。 Google は 5 件を把握しており、そのうち 4 件はすでに取り消されていると述べているが、問題が解決したと考えて火に手を入れる人は誰もいない。 CCA はすでにこの問題全体の責任をすぐさま NIC に非難しており、さらなる問題を避けるために証明書を取り消しています。

このセキュリティ侵害は、同じ OS の Windows、Internet Explorer、Chrome のユーザーにのみ被害を及ぼします。他のオペレーティング システムやブラウザでは、Microsoft の「ルート ストア」を使用しなくてもエラーは発生しません。コンピュータ専門家の一部のコメントが指摘しているように、インドに拠点を置く認定を使用する Web サイトを避ければ、この脅威は大幅に軽減される可能性があります。いずれにせよ、Google と Microsoft はすでにこの状況の制御に取り組んでおり、数日以内にこの問題に関する最新情報が公開される予定です。