報告された Web セキュリティの脆弱性に関する情報

Internet Explorer が、セキュリティで保護された Web サイトを認識する方法に関するセキュリティ上の脆弱性が報告され、それに関しての議論が行われています。マイクロソフト セキュリティ レスポンス センターでは、その報告を調査しており、この問題に関する情報およびその解決方法を提示する予定です。

Internet Explorer が、セキュリティで保護された Web サイトを認識する方法に関するセキュリティ上の脆弱性が報告され、それに関しての議論が行われています。マイクロソフト セキュリティ レスポンス センターでは、その報告を調査しており、この問題に関する情報およびその解決方法を提示する予定です。

この報告では、Internet Explorer が Secure Socket Layer （SSL） プロトコルを介した安全な Web セッションを確立する方法に問題があると説明されています。SSL は多くのセキュリティ機能を提供しますが、この場合に利用できるのは、Web サイトが実際に意図するサイトであるかを確認する機能です。SSL の実装に存在する問題により、攻撃者は、サイトの保護を無視する Web サイトを作成し、それが別な Web サイトであると偽装する可能性があります。そしてユーザーがそのサイトを信頼し、クレジット カード番号などの個人情報を入力してしまう恐れがあります。

この問題により、攻撃者は有効な SSL デジタル証明書を発行し、表面上、別の Web サイトに属する有効な追加証明書に見えるものを作成する可能性があります。ユーザーがそのサイトを訪問した際、攻撃者は、不正な追加証明書を表示させ、そのユーザーが実際にその証明書に記されたサイトを訪問していると思い込ませようとする可能性があります。

マイクロソフトはこの問題の存在を確認しましたが、それを実際に悪用するのは困難です。その理由は以下の通りです。

• 攻撃のシナリオは限られています
  ユーザーが攻撃者の Web サイトを、別の正規のサイトであると信じ、そのサイトを訪問した場合、この問題により、攻撃者は信じ込んでいるユーザーの思い込みにつけこみ、さらに攻撃を受けやすくなる可能性があります。しかし、この問題により、ユーザーを実際に攻撃者のサイトを訪問させることはもちろん、それが正規のサイトであると思い込ませることはできません。攻撃者がユーザーに正規のサイトであると信じさせるためには、攻撃者は DNS キャッシュ ポイゾニング （不正書き換え） などの技術を悪用し、そのユーザーが通過するインターネット インフラストラクチャを変更できることが必要条件となります。
• 攻撃者の身元は容易に確認できます
  攻撃者がこの脆弱性を悪用するには、信頼される認証機関が発行した有効な SSL デジタル証明書が必要となります。しかし、ほとんどの商用認証機関では、証明書を発行する前に、適切な身分証明を提出することが求められるため、警察当局が攻撃者を確認することが可能になります。 （証明書の確認に関する情報はこちら(英語情報) をご覧ください。）
• ユーザーは常に事実を確認することができます
  SSL セッションが~確立されると常に、鍵の形をしたアイコンが画面の右下に表示されます。そのアイコンをダブルクリックすると、発行者の ID など、そのサイトのデジタル証明書に関する情報を確認することができます。これにより、そのサイトが正規のものではなく、その証明書が商用認証機関によって直接発行されたものではないことが明らかになります。

この問題の悪用に関して講じられている様々な対策にも関わらず、問題は実際に存在しており、マイクロソフトはその問題を排除する修正プログラムを開発中です。修正プログラムが入手可能になった際にはセキュリティ情報を公開し、この問題の全体および修正プログラムの適用方法を説明する予定です。

マイクロソフトは、この問題に関してお客様が持たるれかもしれないすべての不安について、残念に思っています。この問題とその危険性に対する客観的な評価が、初期の段階から行われていればよかったことは明らかです。しかし、この報告では、この脆弱性が実際に悪用されることが妨げられるいくつかの要素が説明されておらず、マイクロソフトへ事前に警告がないまま公開されました。責任あるセキュリティ調査をする人であれば、ユーザーの安全を念頭に置き、ベンダーと協力し、潜在的な脆弱性に関して公開された情報が客観的なものか、また何よりも正確であるかをチェックします。今回の場合もこのステップが踏まれていれば、すべてのユーザーの利益はより保護されていた可能性があります。