SSLトラフィックを傍受する新たな方法を発見したことを、米国ラスベガスで開催された「Black Hat USA 2009」に参加したセキュリティ専門家が報告した。

　この方法を発見したのは、モクシー・マーリンスパイク（Moxie Marlinspike）と名乗るセキュリティ専門家。マーリンスパイク氏はこの方法を紹介するとともに、WebサイトとWebブラウザ間のSSLトラフィックを狙った攻撃への注意を喚起した。
モクシー・マーリンスパイク氏（Black Hat DC 2009のインタビュー映像より）

　同氏によると、考えられる攻撃としては、パスワードの窃盗、オンライン・バンキング・セッションのハイジャック、悪意のあるコードを含むFirefoxブラウザ・アップデートの送信などがある。

　問題の要因は、WebブラウザのSSL実装方法、およびWebサイトの信頼性を保証するデジタル証明書の管理に使用されているX.509公開鍵インフラストラクチャ・システムにあるという。

SSLに関しては、昨年末にも、不正な認証局を作成して偽のSSL証明書を発行できるという問題が明らかになった。現在、カミンスキー氏とササマン氏がSSL証明書の発行方法に問題があると指摘しているほか、SSLの証明書を管理しているX.509システムが時代にそぐわないとして修正を求める声も高まっている。

http://www.computerworld.jp/topics/vs/157150.html?RSS