1990年に設立された英国を拠点とする非営利団体Privacy Internationalは、タイ軍事政権のルート証明書(電子取引開発庁(ETDA)が管理)をデフォルトで承認しているOSベンダーはMicrosoftのみであることを示す報告書を発表しました。同団体は、タイ政府がタイ国民に対して「中間者攻撃」(MITM攻撃)を仕掛ける可能性があることを懸念しています。
タイ政府によるインターネット企業への厳しい統制
プライバシー・インターナショナルによると、現在のタイの政治状況は、強固な法的枠組みが整備されておらず、かつ適切に執行されていないため、企業がデータ提供の要請を拒否することが困難である。つまり、企業はタイで法律が味方してくれると期待することはできないのだ。
この非営利団体は、政府と通信業界の間の回転ドア構造により、タイでインターネット上で事業を展開する企業はタイ政府の厳しい管理下に置かれることになると述べた。プライバシー・インターナショナルは、タイの軍事クーデター中にFacebookが30分間停止したのは、政府がISPの協力を得てサービスの暗号化を回避しようとしたためだと考えている。
タイ政府はインターネットの黎明期からISPと緊密な関係を築いており、通信を解読するための様々なツールを導入してきたにもかかわらず、多くのサービスの通信を解読できていません。そこで、一般的なオペレーティングシステムのルート証明書が大きな力を発揮する可能性があります。ルート証明書を悪用することで、タイ政府は国内およびそのオペレーティングシステム上で行われるあらゆる通信を傍受できる可能性があります。
タイ政府のルート証明書を承認できるのはWindowsのみ
WindowsやmacOSなどのオペレーティングシステムでルート証明書がデフォルトで信頼されている場合、傍受は標的に気付かれない可能性があります。Privacy Internationalは、Windowsにはタイ政府の証明書が含まれているのに対し、macOSには含まれていないことに気づいたと述べています。
その後、Privacy International は、これまでタイ政府のルート証明書を承認したのは Microsoft のみであることを考慮して、Microsoft のルート証明書の承認の仕組みについて質問しました。
マイクロソフトは2か月以上経ってから返答したようで、タイ政府の証明書を承認することにした具体的な経緯は明かせないが、全体的な承認戦略は同社のウェブサイトに掲載されていると述べた。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
マイクロソフトはトムズ・ハードウェアへの声明で、タイ政府がWindowsのルート証明書を取得できたのは、同社の「徹底的な」承認プロセスとカナダの会計監査会社BDOによる監査をパスした後だと述べた。
「マイクロソフトは、Microsoftルート証明書プログラムを通じて証明機関の認証を受けている組織が発行した証明書のみを信頼しています」とマイクロソフトの広報担当者は述べています。「このプログラムは、第三者のウェブトラスト監査機関による定期的な監査を含む、包括的な審査プロセスです。タイは当社のプログラムの要件を満たしており、最新の監査の詳細は、こちらとこちらでご確認いただけます。契約上の義務に裏付けられたこの徹底的な審査は、プライバシー・インターナショナルのリスク評価には反映されていません」と同社は付け加えました。
しかし、監査は期待するほど厳格ではないようだ。監査人が予防不可能だと言っている問題は、シマンテックで発生した問題とほとんど同じだ。当時、シマンテックは数千もの不正な証明書を発行していたことがGoogleに摘発された。シマンテックの場合も、問題は詐欺、ミス、そして社内ポリシーの不遵守によって引き起こされたようだ。
Microsoft のサイレントルート証明書更新
Microsoftはここ数年、数十件もの新しいルート証明書を追加してきましたが、通常は公表されておらず、その事実に気づいたセキュリティ研究者はごくわずかでした。密かに追加されたルート証明書の中には、今や悪名高いWoSignという中国の認証局(CA)のものだとされるものもありました。この認証局は、昨年末にSHA1証明書のバックデートと、別の認証局を買収したことの開示を怠ったとして、GoogleとMozillaから処罰を受けたのと同じ認証局です。
Windowsにルート証明書を追加した時期を隠蔽、あるいは少なくとも公表しないというMicrosoftの決定は、実に奇妙です。ルート証明書はオペレーティングシステム全体のセキュリティにとって非常に重要な要素であり、さらに重要なのは、ユーザーがルート証明書にどの程度の信頼を置くべきかを決定づけるということです。Microsoftがルート証明書の承認方法を具体的に明らかにしないことも、事態の改善にはつながりません。
マイクロソフトのこうした奇妙な決定を除けば、マイクロソフトがタイ政府によるユーザーへのスパイ行為を意図的に支援していることを示す証拠はまだほとんどありません。しかし、タイ政府が実際にルート証明書を悪用していることが判明した場合、マイクロソフトがどのように対応するかは、いずれにせよ証拠として考えられるでしょう。
Microsoftは、ここ数年GoogleやMozillaが主張してきたように、認証局(CA)による権力の乱用について声高に批判してきませんでした。また、他の2つのブラウザベンダーとは異なり、認証局(CA)に証明書のログを証明書の透明性(CT)システムへ提出することを義務付ける発表も行っていません。CTシステムは、認証局(CA)の健全な行動を促す環境を整え、不正な証明書が使用されている場合の検出を容易にします。
また、マイクロソフトに対して、ルート証明書の不正使用が発覚した場合にタイの証明機関 (Thailand NRCA) を処罰するかどうか、また証明書の透明性システムをサポートするかどうかも尋ねたが、同社からは回答が得られていない。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
