HTTPSなどのサーバの信頼性を保証するための電子証明書が誤って発行され、偽サーバによる不正アクセスに悪用されていることが明らかになり、各所で波紋を呼んでいる。
Googleなどの調査によると、証明書を発行する認証局の一つ「TURKTRUST」が、通常のサーバ用の証明書を取得しようとした団体に対して、新たな証明書の発行が可能な中間認証局の証明書を誤って発行してしまっていたとのこと。この証明書を悪用して「google.com」向けの証明書が発行され、偽のGoogleサーバで使用されているのが検出されたことから発覚した。

このような偽サーバによるフィッシング詐欺などを避けるためには、問題の証明書を信頼の対象から除外するように設定する必要がある。
Android4.0以降の端末では、設定の「セキュリティ」→「信頼できる認証情報」の画面で問題の証明書を発行したTURKTRUSTのチェックを外せば、問題の証明書の信頼も取り消され、偽サーバによる通信傍受や改竄を防ぐことが可能だ。TURKTRUSTが発行した証明書を使っている他のサイトにもアクセスできなくなってしまうが、TURKTRUSTはトルコの認証局なので、日本人には特に影響はないはずだ。

Android 4.0未満では、認証局の信頼設定の機能が用意されていないため、根本的な対策はメーカーからのアップデートを待たなければならない。それまでは、自前のWebページ描画エンジンを搭載し、バージョンアップで独自に対策が可能な「Firefox」や「Opera Mobile」などの大手Webブラウザを使い、心当たりのないメールに書かれたURLへのアクセスや、誰が設置したか分からない野良Wi-Fiスポットへの接続は避けるなどの対策を心掛けるしかないだろう。

・Firefox – Google Play の Android アプリ

・Opera Mobile ウェブブラウザ – Google Play の Android アプリ

Android4.0以降ではTURKTRUST系の認証局を無効化して対策

Androidの設定で「セキュリティ」→「信頼できる認証情報」の画面に進んだら、「TURKTRUST」と書かれた項目を探してタップしよう。問題の項目は2つあり、1つは上の方にあるはずだ。

証明書の詳細情報が表示されたら、下の方にスクロールすると現われる「無効にする」をタップし、確認ダイアログで「OK」を押して無効化しよう。

同様にしてもう一つの項目も無効化しよう。頭文字「T」の項目の最後の方にあるので、頭文字を頼りに探そう。

Android4.0未満で可能な対策

Firefoxでは、HTTPSによる暗号化通信が行なわれているサイトでは、アドレスバーのアイコンをタップするとサーバの証明書の情報を確認できる。最新版ではTURKTRUST由来の不正な証明書が使われているサーバへのアクセスを防止する処置も施されているとのことなので、Android4.0未満でも偽サーバによる被害をある程度防げるはずだ。

偽サーバによる不正アクセスの手口として多いのが、オンラインサービスの運営元からのメールを装って、よく似たURLの偽サイトにアクセスさせ、パスワードなどを盗み取る手口。いつも使っているサービスからのメールが送られてきても、メールないのリンクはクリックせず、ブラウザのブックマークなどからアクセスするようにしよう。

通信を傍受・改竄されると、本物と全く同じURLの偽サイトにアクセスさせられる恐れもある。このような中間者攻撃は、通常のモバイルデータ通信回線では起りにくいが、誰が設置したか分からない野良Wi-Fiアクセスポイントでは危険があるので、絶対に接続しないようにしよう。