現在地:セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2011-34

重要度: 高
公開日: 2011/08/30
影響を受ける製品: Firefox、Thunderbird、SeaMonkey

修正済みのバージョン: Firefox 6.0.1
  Firefox Mobile 6.0.1
  Firefox 3.6.21
  Thunderbird 6.0.1
  Thunderbird 3.1.13
  SeaMonkey 2.3.2

概要

Google Chrome ユーザの alibo 氏が、Google 社のサーバへ安全な接続を行っているときに、実行中の中間者攻撃に遭遇しました。その不正な SSL 証明書は、オランダの認証局 DigiNotar 社によって不正に発行されたものでした。DigiNotar 社の報告によれば、他にも複数の不正な証明書が発行され実際に使用されている形跡があるようですが、今回のセキュリティ侵害の全容はまだ明らかになっていません。

ユーザを保護するため、Mozilla では DigiNotar 社のルート証明書を各製品から削除する措置を取りました。DigiNotar 社によって発行された証明書を使用しているサイトは、他の証明書ベンダーを探す必要があります。

謝辞

Mozilla はこの問題を報告してくださった Google 社に感謝します。また、Marien Zwart (Mozilla ローカライザ)、Ot van Daalen (Bits of Freedom)、and Erik de Jong (GovCERT) の各氏にも協力をいただきました。

参考資料

• Fraudulent *.google.com Certificate [Mozilla Security Blog]
• Google の一部サイトに対して発行された不正な SSL 証明書の問題 [Mozilla Japan ブログ、上記記事の翻訳]
• An update on attempted man-in-the-middle attacks [Google Online Security Blog]
• Bug 682927