2009年8月7日
日本クロストラスト株式会社

既に報道等で周知されておりますとおり、7月29日に米国で開催されました「Black Hat USA 2009」において、SSLサーバ証明書のNULL文字挿入による攻撃手法、及びハッシュ関数MD2への現像攻撃の可能性が発表されました。これらの脆弱性に関して、日本クロストラストより提供されたSSLサーバ証明書、EV SSL証明書（以下、サーバ証明書）には影響がないことが確認されましたので、以下の通りご報告いたします。

1. NULL文字挿入による攻撃手法とは、証明書のコモンネーム（サーバのFQDN）の一部にNULL文字を埋め込むことで、別のドメインに対して発行された証明書であるとブラウザ等に誤認させるものです。日本クロストラストでは、これまでに発行された全てのサーバ証明書に関して、NULL文字が含まれていないことを確認いたしました。また今後もNULL文字を含むサーバ証明書を発行することはありません。
2. 日本クロストラストの提供するサーバ証明書はMD2を使用しておりませんので、今回発表された攻撃手法の影響を受けることはございません。

【本件に関するお問い合わせ先】
日本クロストラスト株式会社 認証サービス部
Tel ：　0120-979-717
E-mail：sales@crosstrust.co.jp