ロシア政府による TLS 認証局 (CA) の設立:Yandex/Atom ブラウザで経済制裁に対抗

Russian Pushing New State-run TLS Certificate Authority to Deal With Sanctions

2022/03/11 TheHackerNews — ロシア政府は、ウクライナへの軍事侵攻に伴う西側諸国の制裁措置により発生した、Web サイトへのアクセスに関する問題に対処するため、独自の TLS 認証局 (CA) を設立した。Gosuslugi パブリック・サービス・ポータルに掲載されたメッセージによると、ロシアの Ministry of Digital Development は、TLS 証明書の取消/失効に際して、発行/更新を処理する国内代替機関を提供する予定とされる。このサービスは、ロシアで活動する全て法人に提供され、要求に応じて5営業日以内にサイト・オーナーに証明書が届けられるという。


TLS 証明書とは、暗号鍵を組織の詳細情報にデジタル結合するために使用され、Web ブラウザがドメインの信頼性を確認し、クライアント・コンピュータと対象 Web サイトの間の通信が、安全であることを保証するためのものである。

このロシア政府の提案は、西側諸国による制裁措置を受けた DigiCert のような企業が、ロシアでのビジネスを制限されていることを受けて行われたものだ。同社は、改訂版のアドバイザリにおいて、「ロシアでの注文の検証は、民間企業や個人に必要な広範なチェックのため、処理に時間がかかる場合がある。しかし、当社は、この国にすべての製品を提供できる」と記している。

その一方で、Google Chrome/Microsoft Edge/Mozilla Firefox/Apple Safari などの Web ブラウザが、ロシアの新しい認証局が発行した証明書を受け入れ、認証サーバーへの安全な接続を意図通りに機能させるかどうかは、明らかではない。

しかし、SentinelOne の Principal Threat Researcher である Juan Andres Guerrero-Saade が共有したツイートによると、ロシアの公共サービス機関は Yandex や Atomといった、ロシア製ブラウザの使用を推奨しているとのことだ。

そのメールには、「公共サービスを含む全てのサイトや、必要とされるオンライン・サービスにアクセスするには、ロシアの証明書をサポートするブラウザのインストールが推奨される」と書かれている。

また、この証明書は、国内のインターネット・ユーザーから発信された HTTPS セッションで、中間者攻撃 (MitM) を行う武器になる可能性がある。つまり、そのシステムを通過するトラフィックの、関係当局による傍受/解読/再暗号化を可能にするという、大きなリスクをはらんでいる。Guerrero-Saade は、「これは正気の沙汰ではない。これが完全な全体主義的中間者なのか」とツイートしている。

また、この開発は、進行中の紛争に乗じるサイバー犯罪者が、ロシア企業に対する独自のサイバー攻撃ツールを求めるユーザーを標的にし、有用なサイバー・ツールを装ったマルウェアを提供しているという現実を、Cisco Talos が発表した直後に行こなわれている。

研究者たちは、「この紛争に対する世界的な関心は、脅威アクターたちに巨大な潜在的被害者群を提供するのと同時に、攻撃的なサイバー作戦の実行に関心を持つ人々の数を増加させる一因となっている。これらの観察結果から得られるのは、脅威アクターがロシアとウクライナの紛争を、自らのビジネスに組み込む新しい方法を模索しているという現実であり、また、ユーザーはサイバー脅威活動の増加に注意を払う必要があるという現実である」と述べている。

ウクライナ侵攻に伴う経済制裁に対抗するかたちで、ロシア独自の TLS 認証局 (CA) を設立するとのことです。ロシアの自給率を調べてみましたが、エネルギーは 2015年当時で 183% で、食料は 2013年当時で 132% とのことです。それを考えると、経済制裁の効果というものも、かなり限定された範囲になるはずで、その気になれば我慢できるレベルなんだろうと思えてきます。→ Ukraine まとめページ

%d bloggers like this: