公開鍵を「公開しない」ってどういうこと?:セキュリティクラスタ まとめのまとめ 2019年4月版(3/3 ページ)
2019年4月のセキュリティクラスタでは、「『ラブライブ!』のドメインハイジャック」「アプリケーションのデータを書き換えて利用制限時間を引き延ばしたため、電磁的記録不正作出・同供用で書類送検された事件」「パスポートの署名検証に使う公開鍵の開示を求めたものの、開示されなかった事例」が話題となりました。
パスポートの公開鍵を公開する必要はない!?
タイムライン(TL)では、上司や顧客から「公開鍵を公開したくない」と言われて困るというグチをたまに見かけます。4月23日には外務省が公開鍵を公開してくれないことが話題となりました。
「AAA Blog」の「パスポートのセキュリティ」というエントリーでは、日本が発行した電子パスポートの真正性を検証しようとしました。そのためには外務省が発行しているCSCA(Country Signing Certification Authority)証明書の中にある公開鍵を使用する必要があったため、この証明書の開示を外務省に求めました。ところが「公にすることにより、旅券偽造のリスクが上がる。他国や国際機関などとの信頼関係が損なわれる」という理由で開示を拒否されたというのです。
結局ブログではドイツで公開されていた日本のCSCA証明書を使用して検証したということでした。日本の電子パスポートの真正性を検証するために外国に頼るという結果に対し、さまざまな意見が飛び交うことになります。
公開鍵なのに公開してくれないとは? という意見が多く、本当に機密だとしたら公開されないはずなのに公開しているドイツは問題になるのではという意見もありました。公開鍵から何を偽装できるのか気にしているツイートもありました。
さらに公開鍵を全員に公開する必要はないのではという意見や、気分として「気持ち悪い」から公開したくないこともあるのでは、という意見もありました。
外務省を擁護するような「不開示は当然」というブログも書かれましたが、公開鍵とは関係のない攻撃が怖いという内容だったため、たくさんの人に「関係ない」とツッコミを受けていました。
この他にも、4月のセキュリティクラスタでは次のような話題が注目されていました。5月はどのようなことが起きるのでしょうね。
- 無罪判決が出たコインハイブ事件、検察側が控訴(関連記事)
- 「ハッシュ化したから漏えいしても安全」と主張するのは止めた方がいいの?
- ウィキリークス創設者のジュリアン・アサンジ氏、英国で逮捕される
- 「ななつ星in九州」の関連商品販売サイトが不正アクセスを受けて全登録者の情報が流出
- 海賊版サイト対策の「アクセス警告方式」について検討する有識者会議の初会合が開かれる、まとまらず
- 民放テレビ局が連携した公式テレビポータルサイト「TVer」、クラッキングされて表示が不正に
著者プロフィール
山本洋介山(株式会社メルカリ)
Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。
Copyright © ITmedia, Inc. All Rights Reserved.