TLS Certificate Mis-Issuance Exposes 1.1.1.1 DNS Service to Exploitation
2025/09/04 gbhackers — Cloudflare と APNIC が運営し、広く利用されているパブリック DNS サービス 1.1.1.1 に対して、3件の不正な TLS 証明書が発行されていたことが、セキュリティ研究者たちにより 2025年5月に明らかにされていた。これらの証明書は、Fina RDC 2020 認証局により不適切に発行されたものであり、暗号化された DNS クエリの傍受/復号を攻撃者たちに許す可能性がある。その結果として、ユーザーの閲覧履歴や習慣の漏洩へと至る恐れがある。
TLS 証明書とは、Web サイトのドメイン名と公開暗号鍵を紐付けるデジタル文書である。それが有効な場合において、ユーザーのデバイスとサーバ間の、通信のプライバシーとセキュリティが確保される。
しかし、悪意の第三者や不正な第三者が、有効な証明書を保有している場合には、ドメインの偽装による中間者攻撃へとつながる可能性がある。
このような攻撃を仕掛ける攻撃者は、ユーザーに知られることなく通信を傍受し、場合によっては、その内容を改竄することも可能になる。
Fina RDC 2020 証明書は、Microsoft の Windows と Edge において、デフォルトで信頼されている。それは、Fina RDC 2020 が Fina root CA にチェーンされているためである。
このルート証明書は、Microsoft のルート証明書プログラムの一部である。その一方で、Google Chrome や Mozilla Firefox などの主要ブラウザは、Fina を信頼済みルートリストに取り込んだことがなく、Apple の Safari も同様に、Fina を信頼していない。その結果として、潜在的なリスクに直面したのは Windows と Edge のユーザーのみであった。
Cloudflare が確認したことは、これらの証明書の発行を要求/承認していないことだ。同社の広報担当者は、「証明書の透明性に関するメール・リストへの報告を受け、当社は直ちに調査を開始し、Fina/Microsoft、および、Fina の TSP 監督機関に連絡を取った」と述べている。
それらの関係者が、Fina への信頼を失効させるか、誤って発行された証明書を失効させることで、この問題は軽減される。また、WARP VPN サービスには影響がなかったことが、ユーザーには保証されている。
すでに Microsoft は、証明機関に即時の対応を要請しており、不正な証明書を禁止証明書リストに追加し、ブロックする予定であると述べている。
ただし同社は、これらの5月に作成された証明書が、4ヶ月間も検出を逃れていた理由については説明していない。
このインシデントが浮き彫りにするのは、インターネットの PKI (public key infrastructure) における深刻な脆弱性である。つまり、単一の証明機関の侵害や誤りが、何百万人もの人々が信頼するモデルを毀損する可能性である。
証明書の透明性 (Certificate Transparency) ログは、すべての公開されている TLS 証明書を記録し、誤発行を迅速に発見するために存在する。しかし、今回のケースでは、それらの証明書は4ヶ月間も気づかれずにいた。
TLS 証明書に誤発行があったようです。1.1.1.1 は広く利用される DNS サービスですが、Fina RDC 2020 という認証局が正しくない手順で証明書を発行したことで、Cloudflare や APNIC が承認していない証明書が有効化されていました。その結果として、攻撃者が正規のサーバになりすまし、ユーザーの DNS 通信を傍受/復号する危険が生まれたと、この記事は指摘しています。よろしければ、DNS で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.