独立行政法人情報処理推進機構(IPA)は29日、Webサイトの暗号通信に使われるサーバ証明書で不適切に運用されている事例が新たに発見されたとして、注意を呼び掛ける文書を発表した。この証明書は
「オラオラ証明書」
と呼ばれており、これまで知られているどんな不正証明書よりも高速かつ正確な攻撃が可能だという。
クライアント側で検証できない不適切に設定されたサーバ証明書については、これまで「オレオレ証明書」と命名され第6種までの存在が確認されてきた。しかし、いずれも攻撃力に乏しく、セキュリティオタクの電話問い合わせなどの嫌がらせでかんたんに粉砕することのできるレベルのものだった。
今回の「オラオラ証明書」は、オレオレ証明書が“矢”に刺されることによってスタンド能力を発現したもの。その能力は強大で、アクセスしてきたブラウザに対し
「オラオラオラオラオラオラオラオラオラオラオラオラ!」
と秒間16発の自己証明ラッシュを叩き込むことで圧倒し、あたかも正当な証明書であるかのように受け入れさせてしまうという。
IPAでは「悪質なサイトに利用されることもある」として、各方面に注意を促している。セキュリティ専門家で幽波紋の使い手でもある高木浩光氏は、新型不正証明書の流行について
「やれやれだぜ」
と憂慮する。また、一部ショッピングサイトでは「ホラ! ホラホラ! 見て!」と迫ってセラミック包丁を買わせる
「ホラホラ証明書」
も流行の兆しを見せており、予断を許さない状況だ。