不正アクセスに関する調査と分析についての報告

以下の通り、不正アクセスに関する経緯と調査・分析結果についてご報告いたします。
なお、本件に関してはアメリカ国土安全保障省をはじめアメリカ、イギリス、オランダの捜査当局、および日本の警察、CA（認証局）・ブラウザフォーラムに対し、逐次調査の経過報告を行っております。

経緯　※日時はすべて日本時間
■2011年9月6日
Comodo社（アメリカ）の再販事業者へのハッキング実行犯を名乗る人物（Comodohacker）によりオランダの認証局であるDigiNotar社（オランダ）に対してハッキングを行った旨の声明がなされました。また、情報共有サイトPastebinに掲載された声明文において、4つ（もしくはそれ以上）の認証局に不正アクセスしたことを言及し、その4つの認証局のひとつとしてグローバルサインの名前が挙げられました。

声明文の中で、“Comodohacker”は、4つ以上の認証局に対してハッキングしたと主張。また、以前にComodo社とDigiNotar社から不正な証明書を取得しており、StartCom社（イスラエル）への侵入にも成功したと主張したため、弊社は、セキュリティ業界全体を脅かす攻撃であると判断いたしました。

過去に行った他の認証局への攻撃に関する証拠をComodohackerが掲示板に投稿したため、今回の脅威を無視できないものと判断し、認証局としてWEBサイトの安全性を守るという責務を果たすべく、2011年9月７日より声明内容の真偽を調査するため、証明書の発行を一時停止するという判断を下しました。

■2011年9月8日
声明内容の真偽を調査するためFOX-IT社（オランダ）に調査を委託いたしました。FOX-IT社は、世界的にも高い評価を得ているサイバーセキュリティの専門企業であり、オランダの認証局DigiNotar社への不正侵入の調査を委託された企業であるため、攻撃者に対しての知識と経験を豊富に持っております。また、日本国内において、株式会社サイバーディフェンス研究所にも、調査のサポートとシステム再構築の監督を依頼いたしました。

■2011年9月9日
Fox-IT社は弊社子会社である米国GlobalSignのウェブサイト（www.globalsign.com）を管理するためだけのウェブサーバへ侵入した形跡を確認しましたが、このサーバは重要な受発注システム（GSパネル）、証明書の発行に関するサービスやインフラといった内部システムから切り離されているため認証局の重要なシステムへ侵入することはできません。
認証局の秘密鍵は常にオフラインの状況に置かれており、いかなるネットワークからも完全に切り離されているため、ハッキングによって認証局の秘密鍵が第三者に取得されることは、起こり得ないことを断言いたします。

※補足情報
Comodohackerは、globalsign.comの秘密鍵を入手したと主張しましたが、前述の通り弊社認証局の秘密鍵とは何ら関係がございません。また、もし米国GlobalSignのウェブサイト（www.globalsign.com）を管理するウェブサーバへ侵入を受けていた場合、同サイト（www.globalsign.com）上にあるHTMLファイル・ドキュメントなどが公開されているファイルのコピーを入手された可能性が考えられます。また、www.globalsign.comのサーバ上の秘密鍵を複製し、入手された可能性も考えられます。しかしながら、同サーバの証明書は重要なシステムなどへのログインには使用されておらず、そのことが原因で認証局の重要なシステムへ侵入することはできません。
この米国子会社のウェブサーバへの侵入についての調査結果は、調査が終了した時点で改めて公開いたします。

■2011年9月9日
弊社RA（登録局）で申請された証明書とCA（認証局）から発行された証明書を照合し確認したところ、認証局の発行機能停止以前に不正な証明書の発行は無かったことを確認しました。しかしながら、万全を期すためRAのシステムを新しい機器とソフトウェアで再稼動することについて検討を開始しました。
また、この証明書発行一時停止の期間中に、FOX-IT社の協力を得て将来的な攻撃を識別するための新しい監視機能を導入、㈱サイバーディフェンス研究所の協力・監督により、サーバ機器とシステムを一新、IDCも変更し、一から再構成をしたうえで、侵入テスト等による安全性の確認を行いました。

■2011年9月13日
重要な受発注システム（GSパネル）、証明書の発行に関するサービスなどの再構築は概ね終了しましたが、細部にわたって何重もの点検をするため、サービスの再開を延期することを決定いたしました。点検は数日以内には終了する見込みで、この検査終了次第、段階的に業務を再開いたします。

【今後の対応】
今後は、本件を世界的なセキュリティ業界全体に影響を及ぼす重要な事態と捉え、Fox-IT社と㈱サイバーディフェンス研究所の協力のもと、継続的に監視、テスト、分析や探知・検出作業を行ってまいります。また調査結果は捜査当局や警察、ならびに各国の認証局、ブラウザベンダーや関連機関とも随時共有し、セキュリティ業界全体における再発防止に努めてまいります。