悪しきeIDAS:EU政府によるHTTPS通信の傍受・スパイが可能になる恐れ | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 悪しきeIDAS:EU政府によるHTTPS通信の傍受・スパイが可能になる恐れ

Threat Report

Silobreaker-CyberAlert

悪しきeIDAS:EU政府によるHTTPS通信の傍受・スパイが可能になる恐れ

佐々山 Tacos

佐々山 Tacos

2023.11.09

11月9日:サイバーセキュリティ関連ニュース

悪しきeIDAS:EU加盟国政府によるHTTPS通信の傍受・スパイが可能になる恐れ

The Register – Wed 8 Nov 2023

インターネットの安全性を低下させ、市民をオンライン監視に晒す恐れがあると市民社会団体が指摘するデジタルID規則「eIDAS 2.0」が、ヨーロッパの議員たちによって採択される見込みだという。eIDASとは、eID(電子本人確認)とeトラストサービス(eTS/電子署名、電子シール、タイムスタンプ、電子配布、Webサイト認証など)について定めたEUの規則で、バージョン2.0は2014年に批准されたオリジナル版の改正案。しかし、この新たなバージョンの要件の1つ(第45条)が物議を醸している。これは、ブラウザメーカーに対し、政府認定の認証局(CA)を信頼するよう求め、欧州電気通信標準化機構(ETSI)が指定した以上のセキュリティ管理策の実装を行わせないようにする内容なのだという。このことから、以下の2点が懸念されている。

 

・EU加盟国政府による市民の監視:TLS暗号化を用いた通信では、Webサイトは認証局によって発行されデジタル署名されたデジタル証明書をブラウザに提示し、ブラウザがその真正性を確認することで安全性が確保されている。しかしeIDAS 2.0のもとでは、あるWebサイトの証明書が政府お墨付きの認証局によって発行されている場合、政府は自らに友好的な当該認証局に証明書のコピーを提出するよう求めることができ、これを使って通信の傍受や監視を行えるようになるだろうと指摘されている。

・信頼できない認証局への対抗措置が不能に:証明書やそれを発行する認証局の中には、Webトラフィックの傍受を行うなど、信頼できないものも存在する。ブラウザメーカーは長年にわたってこの問題に対処しており、これまでにトルコ、フランス、中国、カザフスタンなどの認証局からルートCA証明書を剥奪してきた。しかしeIDAS 2.0のもとでは、当該認証局が政府の認可を受けている場合、ブラウザ側はその認証局に対して上記のような措置を講じられなくなるという。

 

第45条に対しては、MozillaやGoogleが懸念を表明し、条文の見直しを求めるなどしている。なお、同じく同改正案に反発している電子フロンティア財団(EFF)によれば、この改正案は「11月8日にブリュッセルの非公開の場で承認される予定」とのこと。

ChatGPTがダウン OpenAIのシステムに影響を与える大規模障害受け

BleepingComputer – November 8, 2023

8日、OpenAIのすべてのサービスに影響を与えるエラーが発生した。この大規模な障害により、同社のAPIや大規模言語モデルベースのチャットボットChatGPTでエラー率が上昇したという。ChatGPTを使用したユーザーには、応答の生成にエラーが生じたことなどを示すバナーが表示されたとのこと。同社はこの問題に関する調査を実施し、問題を特定して修正を行ったと述べており、影響を受けたサービスは復旧している模様。OpenAIは6日にも、同社の画像生成サービスDall-EのAPIで、ほぼ終日エラー率が上昇する事態に見舞われていた。

なお、以下のX投稿によれば、ハッカーグループAnonymous SudanがChatGPTのWebサイトを標的にしたと主張している模様だが、主張の真偽や上記障害との関連性は不明。

FBI、ランサムウェアグループが使用する新たな初期アクセス手法について警告

SecurityWeek – November 8, 2023

FBIはランサムウェアのオペレーターが、標的の環境への初期アクセスを獲得するためにサードパーティベンダーやサービスを悪用し続けていることについて新たな警告を発表した。この警告では、ランサムウェア攻撃で小規模カジノやインディアン・カジノを侵害するためにサードパーティのゲーミングベンダーが悪用されている事例が挙げられているほか、Silent Ransom Group(Luna Mothとしても追跡されているグループ)が行うコールバックフィッシングによるデータ窃取や恐喝攻撃も取り上げられている。同局は、ランサムウェアインシデントの攻撃ベクターとして侵害されるサードパーティベンダーやサービスに関する報告を引き続き追うとのこと。また、ランサムウェア攻撃に遭うリスクを下げるため、組織に対して具体的なセキュリティ対策の方法を紹介している。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ