今年の初め、中国のLenovoパソコンの中のソフト「Superfish」に最初からルート証明書の脆弱性が見つかり、問題になりましたが、
今度はDELLでも同じような問題が発覚しました。
しかも2つも。
superfish搭載のlenovo PCで情報漏洩の危険
一つは eDellRoot 、もう一つが DSDTestProvider です。
・Dell のコンピュータで、自己署名されたルート証明書 eDellRoot が見つかる(シマンテック公式ブログ)
・デル、PCにプレインストールされたeDellRoot証明書の脆弱性に対応--ソフトウェアアップデートを提供へ(CNET記事)
・デル、別のルート証明書「DSDTestProvider」についても問題を認める(CNET記事)
対策はこの対象のルート証明書を削除すると言う事ですが、正直どのモデルが対象で、
どれを消せばよいのか私でもよくわかりません。
しかも、シマンテック公式ブログから削除のリンクをみると、(英語というのもありますが)すごくめんどくさい。
今現在日本のDELLのサイトではこの内容を伝えている様子もありません。
ご心配でしたら直接DELLにきいた方が良いかもしれませんね。
もともと販売店を通さず、直販だけでやっていたメーカーなのですから。
DELLサポートページ
さて、このルート証明書っていうのは何なのでしょうか。
まずここがわからなければ、なんでこれが大問題なのかわかりません。
インターネットでは、そのWEBページが信頼できるのかどうか、個人情報や機密情報をそこに入力したりやりとりしたりして良いのかを、「証明書」をつかって確認しています。
下は私が使っている三井住友銀行のオンラインバンキング取引画面です。
URLが緑になっており、暗号化されているという証明になっています。
その認証はルート証明書 VeriSign で行い、
Sumitomo Mitsui Banking Corporation Chiyoda-ku , Tokyo JP で使用されており、
証明書発行元は direct3.smbc.co.jp で、発行者は Symantec Class 3 EV SSL SGO CA - G2 ってことですね。
暗号化された情報がインターネットでやるとりされると、その暗号を解くカギが必要になります。
そのカギが入っているのが証明書です。
当然その証明書を見たらカギが記載されている・・・訳ではありません。
記載されていたら暗号解読できてしまいますものね。
ところが今回のDELLのeDellRoot証明書には一緒に解読カギも記載されていたという訳です。
誰でも暗号解読できる=そのパソコンの秘密情報を見ることができる。と言う事ですね。
ではその証明書は誰が「正しい」と証明するのでしょうか。
偽造免許証やパスポートと同じで、証明書も偽造されていては、証明書の意味がありません。
その証明書が正しいと判断する最高機関が「ルート認証局」です。
ルート認証局は他の認証局に対してデジタル証明書を発行し、認証局に対する信頼の拠り所となります。
ルート証明書の信頼性は、厳しい監査を受けることや、認証業務運用規程(CPS)を公開すること、運用実績や知名度など、デジタル証明書以外の方法で示されます。
あくまで実績や信用できる機関かどうかと言うことで、その証明書にバグや脆弱性があるかどうかで監査をしているのではないのですね。
そこで通ったのが晴れて「ルート証明書」となるわけです。
このルート証明書は
インターネットオプション→コンテンツ→証明書→信頼されたルート証明機関
にて確認することができます。
私のパソコンでは三井住友銀行を認証したVeriSign もルート証明機関に入っています。
三井住友銀行オンラインバンキング取引画面の証明書を実際に発行したのは Symantec Class 3 EV ~です。
これを中間証明機関と呼びます。
ルート証明期間 VeriSign が発行・証明しているという、いわば下請けの証明機関ってことですね。
別に覚える必要はございませんが、ルート証明書によって我々のインターネットでの情報は守られている。
そして、個人情報や機密情報を入力するとき、インターネットのURL欄が緑色になっていないのは、
その情報が暗号化されていないので、傍受されたり、ウイルスの餌食になったり、もしかしたらそこは偽装サイトかもよ・・・
と、疑う必要がある!というのは覚えておいて損は無いと思います。
URLの欄が緑色じゃない三井住友銀行の取引WEBページは存在しない。
もしあったらそれは偽装ページでオンラインバンキング詐欺ってことですね。
そしてそのルート証明書自体に欠陥(脆弱性)が、しかも短期間に二つも見つかったDELLの問題は大きいということなんです。