シマンテックが発行していたTLS証明書に対して、Googleが自社製品での信頼度を弱めることを検討しているとITニュースサイトZDNetが報道した。簡単に言えば「シマンテックが発行していた証明書は信頼に足りえないので、Chromeなどでの有効期間を短くする」というものだ。この件に関して、どれだけの影響があるのかを検証してみよう。

TLS証明書とは何か?

セキュリティ,Google
(写真=PIXTA)

インターネット上で安全な接続を行うため、通信内容を暗号化し、途中で第三者に傍受されないための仕組みがTLSである。以前はSSLと呼ばれていたが、バージョンアップされた際にTLSと呼ばれるようになっただけであり、両者は根本的に同じである。

TLS証明書とは、CA(Certification Authority: 認証局)が発行するものであり、企業をはじめとするユーザはお金を出して(簡単に言えば)証明書を買うことになる。目的はいろいろあるが、主に「このサイトは確かにこの人(企業)が開設しています」という証明を認証局からしてもらい、自らを証明するというケースが多い。インターネット上で決済を行うもの、ネットバンキングや通販サイトにおいては、もはや必須とも言える。

何が問題だったのか?

TLSの仕組み上、それを認定する認証局は信頼置ける組織でなければならないことは、上述のような構造になっている以上、当然の事である。ところが認証局そのものは、特に政府機関などの認可が必要となるわけではなく、あくまで認証局そのものの信託によるところが大きい。知名度が高いところほど安全であるだろうという事になる。

シマンテックは情報セキュリティ企業として抜群の知名度を誇り、TLS証明書の世界では著名だったベリサインを買収しているため、現段階ではもっとも有力な認証局であることは間違いない。

ところが、そのシマンテックから発行された証明書が、適切な認証手続きを行わずに証明書を発行していたという疑惑をGoogleから持たれ、その件数も当初発表していた100件前後ではなく、3万件以上が数年間にわたり不正に発行されていたというのが問題の核心である。

本来シマンテックのTLS証明書は、軍事施設レベルのセキュリティを持ったオフィスで、徹底的な身辺調査をパスした人間しか採用しないという環境のもとに発行されてきたとされる。それが不適切な手続きにより、かなりの数の証明書が不正に発行されていたという点をGoogleは深刻にとらえている。

どんな影響が出るのか?

Googleでは、自社のブラウザChromeを利用する際の安全性を高める事を中期目的として掲げており、httpsサイト(TLSを使用して安全性が高いとされている)ではない通常のhttpサイトにアクセスした場合には警告が出るような仕様に変更中である。

TLS使用のサイトにアクセスするとアドレスバーが緑に変化したり、鍵のアイコンが出るようになったりして安全性を視覚的に確認できるが、それは有効期間内の証明書が使われていることが前提となる。

今回の件を受けてGoogleでは、シマンテックが発行した証明書を持つサイトにChromeでアクセスした場合、有効期間を短くしようという提案を出している。また証明書にはEV TLS(拡張証明)と呼ばれるものがあり、これは単純な証明(ウェブサイトが存在するというもっとも初歩的な証明書)にとどまらず、そのサイトを運用する組織がきちんと存在するということを証明している。

この場合ブラウザ上のアドレスバーではさらに表示が変化し、一段階上の証明をしている。EV TLSの取得にはそれなりの金額と手間が必要となるが、証明手段としては最も確実なものとなる。これをChromeでは、シマンテックのEV TLSでは表示しないようにするという案まで出ている。

長々と説明しているが、要するに「Google製品では、シマンテックの証明書は完全に信用することができない」という判断をしつつあるということである。高額な手数料を払って、自社の信頼性を高めてもらおうとEV TLSをシマンテックから長い有効期間のものを購入しても、有効期間より短い証明しか得られなかったり、信頼度の高い証明ができなくなったりという危険性がある。

何に気を付けるべきか

Googleから出されている以上の案は、すべて「提案」ベースであり、いきなり有効期限が短縮されたり、EV TLSが無効になったりといったことは、少なくとも現段階では無い。

しかし将来的には起こりうる可能性が高いうえに、Google以外の企業のブラウザも追従する可能性もある。また本当にこれらの案が実行された場合は、シマンテック以外の認証局からの証明書再取得も必要となるため、金銭的な負担も発生する。この点は注意して推移を見守る必要がある。

またこの件に関して、一部のまとめサイトが「問答無用でアクセス遮断」などの見出しを付けているが、上述の通りシマンテック認証のTLSを持つネットのアクセスを遮断する訳ではないため、併せて注意が必要である。情報収集の際は何でもそうだが、アクセス数稼ぎのための刺激的な見出しに踊らされるべきではない。煽りに乗らない冷静な判断力も要求される。(信濃兼好、メガリスITアライアンス ITコンサルタント)

【編集部のオススメ記事】
2017年も勝率9割、株価好調の中でもパフォーマンス突出の「IPO投資」(PR)
資産2億円超の億り人が明かす「伸びない投資家」の特徴とは?
株・債券・不動産など 効率よく情報収集できる資産運用の総合イベント、1月末に初開催(PR)
年収で選ぶ「住まい」 気をつけたい5つのポイント
元野村證券「伝説の営業マン」が明かす 「富裕層開拓」3つの極意(PR)