証明書ベンダー「Comodo」が今日、同社を通じて9つの不正な証明書が発行されたと発表した。これらの証明書が交付されたのは以下に対してだ：

• mail.google.com (GMail)
• login.live.com (Hotmail et al)
• www.google.com
• login.yahoo.com (three certificates)
• login.skype.com
• addons.mozilla.org (Firefox extensions)
• “Global Trustee”

 　Comodoによれば、これらの登録はイランのテヘランからのもののようで、彼らは攻撃のフォーカスとスピードからみて、「state-driven」であると考えている。

 　このような証明書で何ができるだろうか？

  　そう、もしあなたが政府で、自国内のインターネットルーティングをコントロールできるなら、すべてルート変更し、たとえばSSL暗号化が整っているかど うかに関わらず、Skypeユーザを偽の「https://login.skype.com」に導いてユーザ名とパスワードを収集することができる。ある いはSkypeユーザがYahoo、GmailあるいはHotmailにアクセスした際、彼らの電子メールを読む事が可能だ。相当のギークであっても、こ のようなことが起きているとは気づかないことだろう。

 　「addons.mozilla.org」の不正な証明書はどうだろう？　当 初、私はFirefoxエクステンションをある種のマルウェアインストールベクタとして使用する以外の理由は無いと考えていた。しかし、Symantec のEric Chienが、興味深い理論を述べている。すなわち、それは検閲フィルタをバイパスする特定のエクステンションをインストールするのを妨害するのに利用で きる、というのだ。（ありがとう、Eric！）　そのようなエクステンションの例として、こことここを見て欲しい。

 　証明書失効システムは絶対確実とは言えないため、Microsoftはこれらの不正な証明書を信頼できないローカルな証明ストアに移動させるWindowsアップデートをリリースすると発表した。

追記：現在Comodoは、ヨーロッパの関連会社のパスワードおよびユーザ名を獲得して、システムに侵入したと発表している。ひとたび内部に侵入すれば、攻撃者はどんなサイトの証明書でも発行することが可能だ。この件に関し、Wall Street Journalが詳細を掲載している。