2009年1月9日
日本クロストラスト株式会社

既に報道等で周知されておりますとおり、ハッシュアルゴリズム「MD5」の脆弱性を利用してSSLサーバ証明書の偽造に成功したことが複数の暗号研究者により報告されました。

今回使用されたSSLサーバ証明書の偽造の手法は、以前より知られていたMD5の脆弱性を利用したもので、正規の認証局より発行されたMD5が使用されている証明書を基に中間証明書を偽造し、さらに任意のウェブサイトに対する偽のSSLサーバ証明書を発行することを可能とするものです。この手法で発行されたSSLサーバ証明書は、通常のブラウザで検証した場合に警告が発生しないため、ウェブサイトのなりすまし等に悪用される恐れがあります。なお、脆弱性に関する詳細については、以下のリンクで参照可能です：

　JPCERT/CC ：　http://jvn.jp/cert/JVNVU836068/index.html
　US-CERT ：　http://www.kb.cert.org/vuls/id/836068
　Microsoft　：　http://www.microsoft.com/japan/technet/security/advisory/961509.mspx

日本クロストラストがご提供している全てのSSLサーバ証明書は、MD5よりも安全性に優れているとされるハッシュアルゴリズム「SHA-1」を採用しておりますので、今回の攻撃手法の影響を受けることはありません。 

【本件に関するお問い合わせ先】
日本クロストラスト株式会社 認証サービス部
Tel ：　0120-979-717
E-mail：sales@crosstrust.co.jp