amiens international

IPA(情報処理推進機構)のセキュリティセンターとJPCERT/CC(JPCERTコーディネーションセンター)は2011年7月29日、Android OSの一部にSSL(Secure Sockets Layer)証明書の表示に関する危険度が高い脆弱性が見つかったことを公表した。SSL証明書は、Webアクセス時に接続先サーバーの身元(正規のドメイン名であるかどうかなど)を確かめるために使う情報である。

 対象となるのは、Android OSの2.2より前のバージョン(全端末が関係するかどうかは現時点では定かではない)。該当するAndroid端末のWebブラウザーで「外部サイトのコンテンツを読み込むタイプのWebサイト」にアクセスし、身元を確認するためにSSL証明書を表示させると、本来の接続先Webサイト(ドメイン名)に対する証明書ではなく、外部サイトの証明書を表示してしまう。脆弱性を発見し、IPAに報告したのはビジネスインフォーメイションガーヴァンの大谷周平氏。

 この脆弱性を悪用すると、例えば悪意のあるユーザーがクレジットカード番号などを盗むために、本物そっくりなフィッシング詐欺用Webサイトを立ち上げて、ページ内で一部本物のサイトのコンテンツを読み込むようにするといった手口が使われることが考えられる。この場合、詐欺サイトにアクセスしているにもかかわらず、本物のサイトのSSL証明書が表示されてしまうため、ユーザーが安全なサイトにアクセスしていると誤認してフィッシング詐欺の被害に遭ってしまう危険がある。

Androidの一部にSSL関連の重大な脆弱性が発覚、フィッシング詐欺に遭う危険 - ニュース:ITpro

 

To Tumblr, Love Metalab