日本ベリサインは2008年5月20日、Debian系Linuxディストリビューションで発見された脆弱性への対応策として、電子証明書を再発行すると発表した。対象ディストリビューション上で暗号鍵ペアを作成して、使用している顧客が対象。
問題の脆弱性は5月16日に明らかになったもので、この脆弱性を持ったシステムで証明書に対応する暗号鍵を生成した場合、暗号化データがクラッキングされ、口座番号やパスワード、クレジットカード番号などの機密情報が盗まれる可能性があるという。
Debian系Linux固有の欠陥で、原因は、OpenSSLパッケージの生成する乱数が予測可能なため、同OS上で生成する暗号鍵も脆弱なものになってしまうというもの。対象バージョンはDebian GNU/Linux 4.0(etch)および派生バージョン(Ubuntu 7.04/7.10/8.04LTSなど)。既に修正版パッケージが配布されている。
日本ベリサインは、顧客向けに電子証明書再発行の案内メールを送付し、暗号鍵を生成したシステムを確認するよう注意を呼びかけている。現在のところ、この脆弱性によるハッキングや情報流出の報告は受けていないとしている。【鴨沢 浅葱/Infostand】
日本ベリサイン
http://www.verisign.co.jp/
JPCERT コーディネーションセンターの情報
http://www.jpcert.or.jp/at/2008/at080008.txt