インフィニティソリューションズ株式会社ブログ

ハッカー攻撃を受けていたVerisign。CAセキュリティモデルはどうなる?

Informationweekによると、SSL証明等で有名なVerisignが2010年にハッカー攻撃を受けており、DNSに関連する重要な情報が盗まれた可能性があることが明らかになった。

Although the attacks occurred in 2010, the company’s security team apparently didn’t report the incidents to the management team until September 2011. VeriSign then disclosed them to the Securities and Exchange Commission on Oct. 28, 2011, in the company’s Form 10-Q Quarterly Report.

攻撃は2010年に発生したものだが、同社のセキュリティチームはその事実を2011年の9月まで経営陣に報告しなかった。Verisignはその後事実を2011年10月28日に10-Q四半期報告の中で、明らかにしたもの。

— Verisignの資産の一部をSymantecに売却する直前に起こったもの。それとの関連を勘ぐりたくなりますね。

Verisign Form 10-Q

Some pundits say the incident should be held up as an example of why domain name system (DNS)-based authentication on the back of domain name system security extensions (DNSSEC) is not going to solve the trust issues people have with certificate authorities (CAs)–it just transfers trust to entities equally vulnerable to attack.

専門家の中には、この事件は、DNS Security Extensions(DNSSEC)によるDNSベースの正当性保証は、CAにまつわる信用問題を解決するものではなく、単に等しくアタックに脆弱である組織へと信頼する先を代えるだけだという例として上げるべきだと主張する人もいる。

However, though all indicators point to the fact that even VeriSign is not sure about exactly what assets were compromised in breach, Symantec said in a statement that it doesn’t believe that attack affected the SSL business it acquired after the breach.

しかしながら、すべての要素がVerisignですら、どのような資産が盗まれたかを正確に把握していないという事実を示しているが、Symantecは、声明文で、攻撃後に買収したSSLビジネスに影響があったとは思わないとしている。