Mozillaは火曜日、UAEを拠点とするセキュリティ企業DarkMatterとその子会社が所有するデジタル証明書をFirefoxのOneCRLブロックリストに追加した。これは、同社が認証局(CA)としての権限を悪用し、オンライン通信を傍受するのではないかという懸念に基づくものだ。
公益目的のブラウザおよびソフトウェアメーカーであるMozillaの認証局プログラムマネージャーであるウェイン・セイヤー氏は、同社のセキュリティポリシーフォーラムへの投稿で、複数の独立した報告書により、DarkMatterがスパイ活動に関与しているという信憑性のある疑惑が浮上していると述べた。
「この決定については双方に確固たる議論があるが、ダークマターに信頼を置き続けることはユーザーにとって大きなリスクであると結論付けるのは妥当だ」とセイヤー氏は述べた。
キャサリンの同意を待って、DarkMatterの下位認証局の信頼解除を要求するバグを公開します。また、保留中の登録要求と、DigitalTrustからの新たな要求を拒否することを推奨します。
DigitalTrust は DarkMatter の CA 事業の名前です。「Kathleen」は Mozilla プログラム マネージャーの Kathleen Wilson を指します。
ウェブブラウザは、ウェブサイトが提示するデジタル証明書の真正性と整合性を保証する認証局のリストに依存しています。信頼できない認証局は、接続が安全に見える場合でも、ウェブサイトと訪問者間のやり取りを盗聴できる偽の証明書をウェブサイトに発行する可能性があります。
スヌープリンク
DarkMatterは過去2年間、ルート証明書局の座を狙ってきました。1月、ロイター通信はDarkMatterの関係者が、アラブ首長国連邦の情報機関が運営し、元米国情報機関職員の支援を受けた「プロジェクト・レイヴン」と呼ばれるハッキング作戦に協力していたと報じました。プロジェクト・レイヴンの目的は、ジャーナリスト、人権活動家、外国政府関係者のインターネットアカウントへの不正アクセスだったとされています。
DarkMatter社はこの報道を否定しており、 The Registerからのコメント要請にはすぐには応じなかった。
2月に、電子フロンティア財団は、Mozillaや、Apple、Google、Microsoftなどのルート証明書データベースの管理者に対し、DarkMatterのルート証明機関になるための入札を拒否し、公認ルートCAの監視下での証明書の発行を許可する同社の中間証明書を取り消すよう要請した。
オープンソースの64ビットシリアル番号生成の失敗がTLSセキュリティ証明書失効の回避策を引き起こす
続きを読む
「DarkMatterに信頼できるルート証明書を与えることは、諺にあるようにキツネに鶏小屋を守らせるようなものだ」と、当時EFFの上級スタッフ技術者だったクーパー・クインティン氏は語った。
Mozillaのシニアエンジニアリングディレクターであるセレナ・デッケルマン氏は、The Registerに送った電子メールの声明の中で、2015年に中国のCNNICに科された罰であるDarkMatterの追放を擁護した。
「DarkMatterの中間証明書への信頼を取り消し、保留中の登録申請を拒否するという決定を下しました」と彼女は述べた。「これは正しい決定だと確信していますが、軽々しく下したものではありません。この決定は、2つの重要な義務に基づいて下されました。1つ目は、当社のCAルートストアへの信頼がWebのセキュリティ基盤の重要な要素であるということ、2つ目は、Mozilla製品を利用する個人を保護するという当社の責任です。」
デッケルマン氏は、複数の情報源から得た、DarkMatter がスパイ活動に関与しているという信頼できる証拠を考慮し、Mozilla は Web とそのソフトウェアを利用する人々に対する責任を負っているため、セキュリティ業界を信頼し続けることは Web と Mozilla 製品のユーザーを危険にさらすことになるという結論に至ったと述べた。®
