カザフスタン政府による中間者攻撃
2015年、カザフスタン政府は、国内のインターネット利用者のHTTPS通信への中間者攻撃を可能にするルート証明書を発行した。政府はこの証明書を「国家安全保障証明書」と説明した。この証明書を利用者のデバイスにインストールすると、カザフスタン政府が管理するシステムを通過するあらゆる通信の傍受・復号・再暗号化が可能となる[1][2]。
2019年7月、カザフスタン国内のISPは、政府の認証局であるQaznet Trust Networkが発行する証明書(現在はQaznet Trust Certificateと呼ばれる[3])をインストールする必要があると顧客に通知し始めた[4][5]。
Google、Facebook、Twitterが運用するサイトが、カザフスタン政府の当初の標的であったと見られている[6]。
2019年8月21日、MozillaとGoogleは、政府発行の証明書が利用者により手動でインストールされた場合であっても、FirefoxとChromeが証明書を受け入れないようブラウザに変更を加えると発表した[7][8]。AppleもSafariに同様の変更を加えると発表した。2019年8月 現在[update]、Microsoftは自社のブラウザに変更を加えていないものの、政府発行の証明書を自社のブラウザの信頼済みルートストアに登録しておらず、利用者が証明書を手動でインストールしない限り影響がないと説明した[9]。
2020年12月、カザフスタン政府は再び政府発行のルート証明書を導入することを試みた。これは3度目の試みであった[10]。これに対し、ブラウザベンダー各社は再び、ブラウザで証明書を無効化することでそのような試みを阻止すると発表した[11]。
参考文献
[編集]- ^ Nurmakov, Adil (2015年12月5日). “Experts Concerned Kazakhstan Plans to Monitor Users' Encrypted Traffic” (英語). Digital Report. 2019年7月18日閲覧。
- ^ Nichols, Shaun (3 Dec 2015). “Is Kazakhstan about to man-in-the-middle diddle all of its internet traffic with dodgy root certs?” (英語). The Register. 2019年7月18日閲覧。
- ^ “Kazakh government will intercept the nation's HTTPS traffic” (英語). IT PRO. 2019年8月21日閲覧。
- ^ Afifi-Sabet, Keumars (19 July 2019). “Kazakh government will intercept the nation's HTTPS traffic” (英語). IT PRO. 2019年7月19日閲覧。
- ^ Raman, Ram Sundara; Evdokimov, Leonid; Wustrow, Eric; Halderman, Alex; Ensafi, Roya (2019年7月23日). "Kazakhstan's HTTPS Interception". Censored Planet. University of Michigan. 2019年8月21日閲覧。
- ^ Paris, Martine (2019年8月21日). “Google and Mozilla block Kazakhstan root CA certificate from Chrome and Firefox” (英語). VentureBeat. 2019年8月21日閲覧。
- ^ Thayer, Wayne (2019年8月21日). “Protecting our Users in Kazakhstan” (英語). Mozilla Security Blog. 2019年8月21日閲覧。
- ^ Whalley, Andrew (2019年8月21日). “Protecting Chrome users in Kazakhstan” (英語). Google Online Security Blog. 2019年8月21日閲覧。
- ^ Brodkin, Jon (2019年8月21日). “Google, Apple, and Mozilla block Kazakhstan government's browser spying” (英語). Ars Technica. 2019年8月22日閲覧。
- ^ Cimpanu, Catalin. “Kazakhstan government is intercepting HTTPS traffic in its capital” (英語). ZDNET. 2020年12月18日閲覧。
- ^ Moon, Mariella (2020年12月18日). “Tech giants will block Kazakhstan's web surveillance efforts again” (英語). Engadget. 2020年12月18日閲覧。