パスワードを忘れた? アカウント作成
11868603 story
インターネット

機内ネットサービスを提供するGogo、GoogleのSSL証明書を偽造して帯域制御していたことが明らかに 30

ストーリー by hylom
事前に告知しておけばよかったのに 部門より
taraiok 曰く、

旅客機などで機内インターネットサービスを提供している「Gogo」が、偽造したGoogleのSSL証明書を使って帯域制御を行っていたそうだ(PCMagVentureBeatSlashdot)。

発見者はGoogle Chromeのセキュリティチームのメンバー「Adrienne Porter」氏。同氏はYouTubeや他のGoogleサイトを使用しようとしたときにSSL証明書の問題を発見したとのことで、証拠となるスクリーンショットも提示している。

この指摘に対しGogo側は、「飛行中のセッションの間、偽のSSL証明書を発行した」ことを認めている。CTOであるAnand Chari氏は、これについて「飛行中によりベストなインターネット体験を利用できるようにするため」とコメントしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • gogo って結構有名なのかも。アンテナを飛行機に取りつける工事写真が今月の月刊エアラインに載ってたような。
    • by Anonymous Coward

      プレーンテキスト・・・セキュリティ・・・うっアタマが

    • by Anonymous Coward

      私も随分昔にテレビで観たことがあります。
      でもその頃は社名が微妙に違っていて、頭に「マッハ」ってついたような・・・
      子供の頃の記憶なので間違いがあるかもしれません。

  • by Anonymous Coward on 2015年01月13日 14時35分 (#2742738)

    こんなひどいことをしたもんですね、これは盗聴行為ですね。

    • by Anonymous Coward

      リンク先を見ると、タイトルこそ「帯域制御」と穏やかだが、
      記事では「中間者攻撃」「プライバシー侵害」「マルウェアへ誘導」等と
      厳しい表現が並んでる

      帯域絞るにしても、もっとマシな方法あるだろうに…
      こんな手口が蔓延したら嫌だなぁ

      • SSL通信に対してMITMとしてあれこれやる [mcafee.com]のは今更何を騒いでいるのって話だけど。その証明書はまずいな。

        ま、あれこれやる時点で嫌いだけど。

        親コメント
        • by Anonymous Coward

          まさに何を今更なんだけど、だからって黙って見過ごしてたら認めちゃう事になる。
          無駄だと思ってても、見付ける度に「嫌なんじゃ~!!」って騒ぐ人の方が偉いと思う。

          # でもここで騒いでもなぁ…、って意見には同意しちゃうけど。

        • by Anonymous Coward

          >SSL通信に対してMITMとしてあれこれやるのは今更何を騒いでいるのって話だけど。その証明書はまずいな。

          出来る出来ないの話をしているわけではないのですが。

        • by Anonymous Coward

          資料を読んでも仕組みがわかりませんでしたが
          MWGのSSL scannerやGogoの件はクライアント側で回避できないのでしょうか?

      • by Anonymous Coward

        本当に帯域を絞るためだと思う?
        プロキシでキャッシュやアクセレータをSSLにまで適用するためなんじゃないかな。

        オレオレ証明書であることがブラウザの警告ですぐわかるんだから、そこまで悪質とは思えないな。

        • by Anonymous Coward

          オレオレ証明書は便利だけど、知らない人から来たそれをアクセプトする人ってなんなんでしょうね。
          そういう人のリストが押し売りとかに使われるんだろうな。同情できないわ。

          • by Anonymous Coward

            いや、知らない人から来たら皆拒否するから、記事の行為に繋がったんだろ?
            Google様の名を騙れば、素人は皆信用するだろ、って。
            証明書の仕組みを知らない人は、Googleって書かれたら騙されてもおかしくはない。

            正直に「GoGo」のドメインを前面に出した証明書にしておけば問題ないのに、
            なぜ他社の名を騙ったのかって言えば、きっと自社は信頼のおけない会社だと
            自負しているんだろう。自覚があるんだな。

            • by Anonymous Coward on 2015年01月14日 14時23分 (#2743263)

              Gogoのサービスを使ったことが無いので予想だけど、これはGoogleだから偽造したんじゃなくて、そういう仕組みなんだと思うよ。
              https://www.yahoo.com/ [yahoo.com]なら、www.yahoo.comのオレオレ証明書が付いてると思う。

              飛行機内にプロキシみたいな装置があり、それがキャッシュをしているか、データを圧縮しているんだと思う。
              ただ、SSLだとそれができないので、SSL通信は一旦その装置でデコードして、偽の証明書を付けてPCに流してるだけ。
              いわゆるMITM攻撃と同じ手法だけど、最近のセキュリティ製品ではよく使われているよ。

              親コメント
            • by Anonymous Coward

              Googleを名乗ったからGoogleだと思うとかどんだけ素直なんだよ。
              そんなんだと消防署のほうから来た人に消火器買わされるぞ?

              • by Anonymous Coward

                テンプレ乙
                じゃあどうやって見分けるのさ

              • by Anonymous Coward

                信頼できる人から信頼できる方法で受け取った以外の
                オレオレ証明書なんか受け入れなきゃいいでしょ。

                オレオレ証明書の意味が分からない、って自分でわかってる人なら、
                自分のブラウザ上に表示されてるものは改竄されてるかもしれないし
                通信は盗聴れてるかもしれないってことがわかるはず。
                それをわかって使う分には、見分けられなくても問題なんじゃない?

                自分はブラウザにプリインストールされてる証明書も信用してないから
                httpsでも常に改竄や盗聴の可能性があると思って使ってるけど。

  • by Anonymous Coward on 2015年01月13日 14時52分 (#2742752)

    > 飛行中によりベストなインターネット体験を利用できるようにするため

    なんか引っかかったので原文見たら、
    飛行中にベストなインターネット体験を利用できるようにするため
    が正しいです。

    • by Anonymous Coward

      モアベターよ

      • by Anonymous Coward on 2015年01月13日 15時21分 (#2742770)

        突っ込んでいる人は「小森のおばちゃま [google.co.jp]」でググるのがモアベターよ

        親コメント
      • by Anonymous Coward

        うんそれは正しい。
        モアベストとは言わないだけ。

        • by Anonymous Coward

          正しい…とは?

          #more betterは間違いだけど、モアベターなら「日本語として」正しいというのなら異論を唱えるつもりはない

  • by Anonymous Coward on 2015年01月13日 17時10分 (#2742816)
    とりあえず現行法で、SSL証明書の偽装は私文書偽造で処罰できないものか?
    • by Anonymous Coward

      私文書偽造の電子バージョンとしては既に私電磁的記録不正作出・供用がありますね。

      • by Anonymous Coward on 2015年01月13日 17時29分 (#2742827)
        電磁的記録不正作出には「人の事務処理を誤らせる目的で」という条件があって、このような件に適用できるかが謎なんですよね。
        普通の私文書偽造罪ならば目的関係なく「事実証明に関する文書」を偽造して行使すれば犯罪なんだけど。
        親コメント
      • by Anonymous Coward

        そもそも、オレオレ証明書では偽造と言えるかどうか怪しいのでは?
        だって、ちゃんと本物じゃありませんと表示されるんだから。

        • by Anonymous Coward

          スクリーンショットを見る限り、発行者が「Gogo」となっているから、
          本来の意味のSSL証明書偽造とは違うよね。
          というか普通に自分で発行しただけだし、偽造とは呼べない。

          会社のプロキシサーバでHTTPS通信を解析するために一回復号化して、
          自己証明書で暗号化しなおすというのは、それなりに一般的な仕様として
          存在すると思う。もしかしたら、それと同じことをしているだけなのかな?

          まあ、公共のネットワークでそれやっちゃったらHTTPSの意味がないし、
          擁護はできないけど。

        • by Anonymous Coward

          例えば裏が真っ白な一万円札を作っても通貨偽造になりうることから類推すると、
          今回の件は本物でないと表示されうるにしても一見本物と誤認させうることを知った上でやってるようだし
          偽造という観点からはクロじゃないかなあ

        • by Anonymous Coward
          紙の文書ならば、これでも偽造扱いのはず。

          「google.com じゃないサーバを google.com であると証明」する文書を作成したわけだから、
          文書中の発行者の部分を改竄したからといってセーフにはならないよね。
          • by Anonymous Coward

            発行者(作成者)部分が実際のその文章を作成した者の名前(今回ならGogo)になっているのであれば、
            その文章が「Gogoによって作成された」「そのサーバがgoogle.comであるとの証明」であることには
            疑いの余地がないので、(有形)偽造の要件を満たさないはずです。
            例えば、「この本は私が作ったものだが、この本によるとGoogleは私のものだ」という状況があったとして、
            詐欺となる可能性はありますが、本や主張自体は本人が本人名義で作成したもので偽造されていません。

            # というのは有形偽造(=名義人の嘘)の話で、おそらく#2742896さんが言ってるのは無形偽造(=内容の嘘)だと思いますが、
            # 少なくとも日本の場合だと、無形偽造は診断書の偽造などのようにごく一部の特殊な事例のみに適用されるうえに、
            # 権限を持つ者(診断書なら医師、今回ならGoogle自身)が虚偽記載をしたときなので、今回のようなものには関係ないです。
            ## 結構前に軽く調べただけなので間違ってたらごめんなさい

  • by Anonymous Coward on 2015年01月14日 12時54分 (#2743199)

    ・警告を出しているのはブラウザ(偽装された疑いがあるため)
    ・google.comに対するワイルドカード証明書ですべてのGoogleのサービスが対象
    ・発行者はGogoでブラウザに登録されていない認証局

    どこの誰かも知れない人間の作った証明書なのでブラウザが警告しているのです。
    そのうち自分のオレオレ認証局の証明書をブラウザに強制的にインストールさせるようにするかもしれないですね。

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...