【悲報】多くの大手セキュリティ会社が自己署名証明書で通信を傍受する技術を使ってる事が判明

Superfish の話題が冷め切らぬうちにうちに自己署名の証明書を使ったアプリなどが問題になってるようですが…セキュリティソフトの中には標準でそういった機能があるものもあることが判明…?

ESET ERA Console

デフォルトでは、[ダッシュボードは]、自己署名の証明書でhttpsプロトコルを使用して開始されます。これによって、以下の警告メッセージがWebブラウザに表示されることがあります。
このWebサイトによって提供されるセキュリティ証明書は、信頼できる証明機関によって発行されたものではありません。HTTP使用時にはユーザー名およびパスワードはプレーンテキストで表示されることに注意してください。これは、Windows/Domainログイン使用時には特に注意が必要です。(安全ではありません)

これはコンソールなんですが、
Kaspersky ネット決済保護 - 脳脂肪のパクリメモ
こちらのブログではESET入れた人がESETの自己証明書のせいでサイトに警告が出たとの記述が…。

カスペルスキー インターネット セキュリティ 2012/カスペルスキー アンチウイルス 2012 で暗号化された接続をスキャンする方法

暗号化された接続をスキャンするために、カスペルスキー インターネット セキュリティ 2012/カスペルスキー アンチウイルス 2012 は必要なセキュリティ証明書を自己署名証明書に置き換えて使用します。

証明書が自動的にインストールされるのは Microsoft Internet Explorer、Mozilla Firefox または Google Chrome を使用している場合のみです。Opera ブラウザーで暗号化された接続をスキャンするには、カスペルスキーの証明書を手動でインストールする必要があります。

Comodo CAがサーバ証明書を関係のない第三者に発行、大問題に | スラッシュドット・ジャパン セキュリティ

StartComのEddy Nigg氏がこの再販業者に対してmozilla.com用のサーバ証明書の取得を試みたところ、何の本人確認手続きもなしに証明書が発行され手に入ってしまったのだそうだ

SSL証明書を発行する企業が証明書を偽造する悪質なアドウェア「Privdog」を販売していたことが判明 - GIGAZINE

COMODO Internet SecurityなどのPC向けセキュリティツールの開発や、SSL証明書の発行を行うComodoが販売していたソフトウェアの「Privdog」は、Lenovo製PCにプリインされているアドウェア「Superfish」よりも悪質なアドウェアで、HTTPSのセキュリティを完全に破壊してしまう危険性があるということが、ドイツ人ジャーナリストのHanno Bockさんのブログ内で明かされました

Deep Security Manager の管理コンソールに正式な証明書を導入する方法 | サポート Q&A:トレンドマイクロ

Deep Security Manager (以下、DSM)の管理コンソールには、初期設定で自己署名の証明書が導入されているため、管理コンソールを開く度に証明書の警告が表示されます。

SSLの証明書には、大まかに以下の2つの役割があります
サーバへアクセスしている第三者へサーバの正当性を証明する
通信を暗号化・復号するための公開鍵として利用する

おまけ:
どさにっき 2015年2月20日(金) ■ Superfish

お手元の RHEL5/CentOS5 をご覧ください。/etc/pki/tls/cert.pem にオレオレ CA
が入ってんだよクソが。Superfish の件と違って秘密鍵は漏れてないけど、WebTrust for CA の正規の認証を取得してない怪しい
CA 証明書がしれっとルート証明書の束に追加されてるのはまぎれもない事実

|。・ω・) 。o ( こうしてみると、いろいろな口実の下に、自己証明書を使ってるところって多いのね。セキュリティ会社はほとんどが、通信傍受のために使ってる訳で、製品に古いOpenSSL使ってるところだと、通信傍受したつもりが、脆弱性のある SSL通信も提供していた!っていう笑えない話になってる訳ですね )

※ ちなみにトレンドマイクロのウィルスバスター最新版の体験版のインストーラー では 1.0.1e と 1.0.1g を併用…古いですね。大丈夫かな?

【悲報】Superfish複数の重大な脆弱性のあるSSL接続も提供してたことが判明

おすすめ

5件のフィードバック

  1. より:

    なんかもう不信感で一杯ですわ

  2.   より:

    Windows2000とblackwingcatさん以外は何も信用しちゃいけないってことです

  3. 猛牛 より:

    >Kaspersky ネット決済保護 – 脳脂肪のパクリメモ
    >こちらのブログではESET入れた人がESETの自己証明書のせいでサイトに警告が出たとの記述が…。
    んん? このブログが述べているのはカスペを入れたらジャパンネット銀行で不正な署名者である旨の警告が出たということでは?

  4. 黒翼猫 より:

    |。・ω・) < ESETはその記事のコメントの話ですよ )

  5. D より:

    Kasperskyは2015でFirefoxに完全対応したんですが、この自己証明書を信頼するにしないとグーグル検索すらできなくなります。
    ttp://forum.kaspersky.com/index.php?showtopic=307599

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です