公開日:2009/01/07 最終更新日:2009/06/26

JVNVU#836068
MD5 アルゴリズムへの攻撃を用いた X.509 証明書の偽造

概要

MD5 アルゴリズムの衝突耐性の不備を利用した攻撃法により、X.509 証明書の偽造に成功したことが報告されました。

影響を受けるシステム

  • MD5 アルゴリズムを使用している製品

詳細情報

一方向性ハッシュ関数である MD5 は入力値から固定長のメッセージダイジェストと呼ばれる値を出力します。安全なハッシュ関数は特定のメッセージダイジェストに対応する入力値を見つけることが極めて困難である必要があります。異なる入力から同一のメッセージダイジェストが出力される事を "衝突" と呼びます。

1996 年から MD5 アルゴリズムの衝突耐性の不備を利用した攻撃法が報告されています。その後、この攻撃手法が X.509証明書の偽造に使えることが示され、2008年に CA によって署名された証明書をもとに中間 CA 証明書の偽造に成功したことが報告されました。

想定される影響

MD5 の使用形態に応じて様々な影響が考えられます。一例として、偽造された SSL 証明書を用いた悪意あるウェブサイトを信頼することで、情報の漏えいなどが起こる可能性があります。

対策方法

以下の対策方法が考えられます。

  • ソフトウェア開発者、CA運用者、ウェブサイト管理者は MD5 アルゴリズムを使用しないようにする
  • ユーザは MD5 で署名されている証明書については偽造されている可能性があることに注意する (MD5 で署名された証明書を持つ中間 CA から発行された証明書も含む)
  • 参考情報

    1. US-CERT Vulnerability Note VU#836068
      MD5 vulnerable to collision attacks
    2. MD5 considered harmful today
      Creating a rogue CA certificate
    3. CRYPTREC Report 2007
      CRYPTREC Report 2007 暗号技術監視委員会報告書

    JPCERT/CCからの補足情報

    JPCERT/CCによる脆弱性分析結果

    謝辞

    関連文書

    JPCERT 緊急報告
    JPCERT REPORT JPCERT-WR-2009-0101
    CERT Advisory
    CPNI Advisory
    TRnotes
    CVE CVE-2004-2761
    JVN iPedia JVNDB-2009-001001

    更新履歴

    2009/01/20
    対策方法を更新しました。
    2009/03/26
    ヤマハの JVNVU#836068への対応が更新されました。
    2009/06/09
    日本電気の JVNVU#836068への対応が更新されました。
    2009/06/09
    日本電気の JVNVU#836068への対応が更新されました。
    2009/06/26
    関連文書に JVN iPedia へのリンクを追加しました。