認証局のデジタル証明書が偽造されるリスクについて

2009.01.21

「Initial assessment of rogue certificate authority risk」より
December 31，2008

　結論を最初に記しておく。認証局（認証機関：CA）のデジタル証明書（SSL証明書）を偽造するという今回の攻撃を調査した結果，リスクの大きさは大して変わらなかった。これは旧式のハッシュ・アルゴリズム（ハッシュ関数）を狙った非常に深刻な攻撃といえるが，広く知れわたってはおらず，攻撃者たちに悪用されないよう対策済みだ。

　ドイツのベルリンで開催された第25回カオスコミュニケーション会議（Chaos Communication Congress）で2008年12月30日（現地時間）に発表された技術的な脆弱性については，さまざまな説明がなされている。米ワシントン・ポスト紙の記者であるBrian Krebs氏は，平均的インターネット・ユーザーにも理解できるよう，いつもながらの見事な記事を書いてくれた。米プリンストン大学の教授であるEd Felten氏は，セキュリティの専門家でもあまり暗号やPKI（公開鍵暗号基盤）に詳しくない人向けの説明を試みている。さらに、米パデュー大学教授のGene Spafford氏とコロンビア大学教授のSteve Bellovin氏は，今回の発表内容について技術的な側面を超え，攻撃の仕組みと専門家が今すぐ取るべき対応についてそれぞれの見解を述べているが、その中で両氏は、「今回の問題は1996年からくすぶり続けていたもので，2004年，2005年，そして2007年にも鳴った目覚ましを繰り返し止めてきた結果」と説明している。

　「目覚ましのアラーム」は月並みな表現だが，今回の一件は，何ら目立たず，認められることもなく，変わらず現代のテクノロジに浸透し機能しているハッシュ関数の崩壊を示すものだ。

　米ベライゾンビジネスのリスク・チームが最初になすべきことは，顧客の情報システムやデータに対する直接的なリスクを評価し，適切なアドバイスを行うことである。

　今回の攻撃に関する初期評価の結果は，以下の通りである。

この攻撃を作りだした研究調査チームは，非凡な才能と専門知識を持つ顔ぶれだが，それでも問題を突き止めるまで約4カ月かかった。そしてついに、MD5におけるコリジョン（衝突現象）を突き止めるに至ったのである。犯罪者たちの中に極めて高い技術を持つ者がいたとしても，この攻撃を摸倣するまでには時間がかかると思われる。
研究チームは，一連の攻撃のためにあつらえたハードウエアとソフトウエアを使用。こうした攻撃システムを，米アマゾンの仮想マシン・ホスティング・サービス「Amazon Elastic Compute Cloud（EC2）」を1500～2万ドル分利用するのと比べることは，リンゴとオレンジのように全く異なるものを比較するのと同じで意味がない。また，犯罪者たちが「プレイステーション3（PS3）」ベースのクラスタを複製またはシミュレーションしたり，ボットネットなどに計算を肩代わりさせたりするにしても，時間がかかる。
攻撃を実行するには，予測可能な連続する認証番号を使っている認証局から，MD5で署名されたデジタル証明書をあらかじめ購入しておく必要がある。認証番号がバラバラだったり、MD5署名証明書を発行してもらえなかったりすれば、攻撃は実行不可能となる。米ベリサインの報告では，同社のすべての証明書に対して今回の攻撃が「無効となるよう手を打った」としている。その他の認証局も，攻撃リスクを減らすため迅速に対応する可能性が極めて高い。
一部の証明書が既に攻撃されているという憶測は，憶測に過ぎない
攻撃が既に「実際に行われている」としたら，ネットワークへの侵入，あるいはネットワークを操作し，Man-in-the-Middle（介入者）攻撃を仕掛けている可能性がある。例えば，DNS/ARPポイズニング攻撃や無線LAN接続を横取りする「Evil Twin」攻撃などだ。これらの攻撃は，既存のツールで検出できる。
ハッシュ関数は，非常に重要な技術でありながら，問題が多発している。我々の把握するところでは，MD5はこの12年間で廃れてしまった。ご存じのように、短期的にはMD5の後継になりうるとされていた別のハッシュ関数SHA-1も攻撃に対してぜい弱であることが明らかとなり、米国商務省の国立標準技術研究所（NIST）は，SHA-1によるデジタル署名を2010年以降使わないと宣言している。近い将来，MD5の時と同じ様な事態を目の当たりにするだろう。しかも残念ながら，現時点でSHA-1ほど広く採用/導入されているハッシュ関数は存在しない。
今回の発表から24時間以内に寄せられた反応は，Webサイトの認証についてと，フィッシングに悪用される可能性といったものばかりだった。その他のSSL証明書やX.509証明書に対する影響の検証はこれからであり，警告が出される可能性はある。ただし，今回の攻撃によるリスクの大きさは，攻撃者が積極的に利用するかどうかにかかっている。攻撃の効率が高まり，簡単に使えるようになれば，新たに発見される脆弱性よりもリスクが高まりかねない。

　暗号技術の世界では，「Attacks only get better」（攻撃は必ず強力になっていく）が定説だ。今回の攻撃を実践的な形にしたもの，あるいは効率化したものが今後出てくることは間違いない。MD5は既にお蔵入りで，SHA-1は時代遅れだ。企業は，MD5やSHA-1の使用状況を見極め，移行プランを立てる必要がある。米商務省の暗号におけるハッシュ関数の対応状況を参照してほしい。今後，ハッシュ関数でMD5やSHA-1の代わりを果たす事実上の国際基準が制定される可能性もある。今後の切り替えを見据えて計画を立て，移行費用を最低限に抑えるべきだ。

謝辞：今回の記事執筆にあたり，Darren Hartman氏，Steve Medin氏，Robert Moskowitz氏，William H. Murray氏から有益なアドバイスと分析をいただいた。彼らが提供してくれた情報に深謝する。今回の記事に関する文責はあくまで筆者本人にある。

注記：ベライゾンビジネスは，認証局の業務を手がけている。

Copyrights (C) 2008 Verizon Business. All rights reserved.
本記事の内容は執筆時点のものであり，含まれている情報やリンクの正確性，完全性，妥当性について保証するものではありません。
◆この記事は，ベライゾンビジネスの許可を得て，米国本社のSecurity Solution部門の担当者が執筆するブログSecurityBLOGの記事を抜粋して日本語化したものです。オリジナルの記事は，「Initial assessment of rogue certificate authority risk」でお読みいただけます。