『MD5』の脆弱性が明らかに

広く普及しているデジタル証明書技術の脆弱性について、Microsoft や Mozilla Foundation などインターネット業界の大手は、セキュリティ保護技術を用いる Web サイトを危険にさらす攻撃に、同脆弱性を悪用できないようにするため動き始めた。

セキュリティ問題の研究者らは昨年12月、内容証明技術『MD5』に欠陥があることを明らかにした。MD5 は、Web サイトの安全証明 (デジタル証明書) をはじめ、セキュリティが必要なさまざまな場面で利用されている。

デジタル証明書は、Eコマース取引などセキュリティ保護を必要とする各種オンライン コミュニケーションの安全性を保証するものだ。

MD5 に脆弱性が存在すると明らかになったことに対し、Microsoft と Mozilla は、Web ブラウザの『Internet Explorer』および『Firefox』を用いるユーザーが被害を受けないよう、デジタル証明書発行プロセスを確実に更新すべく、関係するデジタル証明書発行組織の各社と協力していると述べた。

Mozilla のセキュリティおよびユーザビリティに関する専門家 Johnathan Nightingale 氏は、同脆弱性を悪用する攻撃がユーザーに脅威をもたらしかねないとしつつも、現在のところ、該当する攻撃は発生していないとの認識を示した。

同氏は Mozilla が運営するセキュリティ Blog において、次のように述べた。「個人情報など、慎重に取り扱うべき情報を必要とするサイトでは、特に公共のインターネット接続を用いる場合において、十分注意するよう勧告する。この問題は、Mozilla 製品に対する攻撃ではないが、この脅威を阻止するために、脆弱性に関係する証明書発行組織が発行プロセスを確実に更新するよう、それら組織と協力している」

同様に Microsoft もセキュリティ勧告を公開し、MD5 の脆弱性を発見した研究者らが、悪用者にとって攻撃を仕掛ける上で必要な背景情報を明らかにしていないことから、問題の脆弱性は顧客に対する危険性を著しく増大させるものではないと述べた。

Microsoft のセキュリティ対策広報を務める Christopher Budd 氏は取材に対し、「Microsoft では、攻撃が発生したとの報告を受けていない。当社は、証明書発行組織が今回の脆弱性について認識を確かにし、より新しいアルゴリズム『SHA-1』への移行を促進すべく、それら組織と協力している」と語った。