不正アクセスに関する調査と分析についての最終報告

以下の通り、不正アクセスに関する調査結果と経緯についてご報告いたします。

調査結果

調査の結果、以下の形跡は認められませんでした。

• 不正な証明書の発行
• 顧客データの流出
• GlobalSignのルート鍵またはハードウェア・セキュリティ・モジュール（HSM）への侵害
• GlobalSignの認証局（CA）インフラへの侵害
• GlobalSignの発行局または関連するHSMへの侵害
• GlobalSignの登録局（RA）への侵害

調査の結果、以下の可能性が認められました。

• 米国GMOグローバルサインの商用サイト（www.globalsign.com）を運営するウェブサーバに侵入を受けた可能性。
• 上記サーバで公開されているHTMLファイル、PDFファイル、www.globalsign.comに発行されたSSLサーバ証明書、及びその秘密鍵に不正にアクセスを受けた可能性。

上述の侵入を受けた可能性のあるサーバは一般に公開されているものであり、証明書発行インフラとは関連がございません。また、不正にアクセスを受けた可能性のある証明書及びその鍵は、既に失効・破棄されており、現在は使用されていません。

お客様への影響

9月6日から9月15日の間、新規証明書の発行を一時的に停止いたしました。

調査協力機関

• インフラ分析をFox-IT社に委託しました。Fox-IT社は、後述するComodohackerの犯罪捜査の一環をオランダ政府により受託した企業です。
• インフラの再構築と監督を株式会社サイバーディフェンス研究所に委託しました。

旧インフラが侵害されたという事実は認められておりません。

経緯（日付は日本時間）

2011年3月にComodo社のRAパートナーへの攻撃により不正な証明書が発行されたことから、Comodohackerと名乗る攻撃者は、セキュリティ・プロバイダ、特に認証局にとって非常に高い脅威と考えられていました。

2011年9月６日　Comodohackerが、オランダの認証局DigiNotar社に対してハッキングを行った旨を、情報共有サイトPastebinに掲載しました。同声明文において、他の複数の認証局にも不正アクセスしたことを言及し、そのひとつとしてGMOグローバルサインの名前が挙げられました。

GMOグローバルサインでは、複数の認証局に対して巧妙な攻撃がなされた、もしくはなされるとの前提から、脅威を無視できないものであると考え、ただちにネットワークの総点検を開始しました。

2011年9月７日　Comodohackerによる声明は十分な確証に欠けるものの、GMOグローバルサインは最も責任ある対応として、以下の目的を果たすべく、新規の証明書の発行を停止する決断を下しました。

• 調査を加速させる
• 万一声明が真実であった場合に、不正な証明書の発行を防ぐ

2011年9月9日　米国GlobalSignの商用サイト（www.globalsign.com）を運用しているウェブサーバへ侵入を受けた形跡を確認しました。

同サーバは、外部に公開されている北米の自社サービス販売サイトだけに使用されており、証明書発行リクエストを可能にするようなウェブアプリケーションは運用しておらず、顧客データも保有しておりません。加えて、北米のホスティング施設で管理されており、証明書発行インフラからは論理的にも地理的にも切り離されています。

同サーバは、即時に除外され、新しいハードウェアと強化したシステムを再構築しました。

以下を含むウェブサーバのコンテンツに不正にアクセスを受けた可能性があることから、www.globalsign.comサイトのSSLサーバ証明書及びその鍵を失効・破棄しました。

• 公開されている全HTMLファイル。
• 公開されている全ドキュメントとPDFファイル。
• www.globalsign.comサイトのSSLサーバ証明書及びその鍵。

サービスの再開に向け、以下のセキュリティ対策に取り組みました。

• 証明書に関わるインフラを、新しいハードウェアと強化されたシステムで再構築。
• IDS （不正アクセス監視サービス）を採用。
• 発行システムへのアクセスに、強化された内部コントロールを追加。
• インターネットに接続するシステムの運用環境一層の強化。

9月15日　サービスを再開しました。サービス再開にあたり、全顧客のアカウントのパスワードをリセットしました。

善後策

GMOグローバルサインは、Fox-IT社のサポートのもと、証明書発行インフラが侵害された形跡が一切見られないことを確認いたしました。そのうえで、インフラ、顧客データ保護、全システムへのアクセスにさらなる強化策を講じました。今回の攻撃は、全セキュリティ・ソリューション・プロバイダに対する高度かつ持続的な脅威の第一段階であると見なしています。脅威が進化してきていることから、業界全体を通じてさらなる強化策が必要であると確信し、GMOグローバルサインは、WebTrust 2.0及び、Mozilla Root CA acceptance programの最新版に記述されている主張に賛同しています。記述された要件を満たすため、特に以下の記載事項を維持、推進してまいります。

• GMOグローバルサインは、1996年以来継続してきたオフラインルートを維持します。
  ※オフラインルートとは、GMOグローバルサインのルート鍵がいかなるネットワークからも切り離されていることを意味します。認証局の秘密鍵は物理的（地理的）にいかなるネットワークシステムからも切り離されており、限定された、物理的に密閉されたオフライン環境でのみ管理されています。
• GMOグローバルサインは、ルート証明書から直接エンドユーザーへ証明書を発行することはありません。中間証明書（発行局）からのみ発行しているため、万が一侵害を受けた際は、侵害を受けた中間証明書のみを除外いたします。
• Fox-IT社との契約を更新し、今後も継続的にコンサルティングの提供を受けます。
• 発行やインターネット接続に関する全てのインフラは、現在、IDSにより年中無休で監視されています。

加えて弊社は、ウェブサーバ、受発注アプリケーション、CRM、RAアプリケーション、証明書発行アプリケーション等の重要なインフラアプリケーションとルート証明書は、今後も物理的、地理的、論理的に切り離された状態で管理されることを、お客様、パートナー様に再度ご報告いたします。

経営陣より

最も歴史ある認証局の一つである全世界のGMOグローバルサインは、いかなる期間であれ、証明書発行業務の停止によりお客様、パートナーの皆様に与える影響を重々に承知しております。重要な決断とはいえ、皆様に多大なご不便をお掛けしたことを深くお詫び申し上げます。しかしGMOグローバルサインは、この度の意思決定が必要不可欠であり、他の認証局同様に不正な証明書の発行を防ぐことが認証局の責務だと考えます。

本件を含む各種インシデントを取り扱うメディア関係者様をはじめ、同業者様、そして大切なお客様、パートナー様に、弊社が選択したインシデントへの対応に賛同の声をお寄せくださったことを心より感謝申し上げます。

弊社は、この度のインシデントから多くの教訓を得ました。これまで以上に脅威が進化していることを認識し、今後、サービスを停止することがないよう全力を尽くしてまいります。また、声明以来、さらなるセキュリティ対策・監視に多大な投資をしてまいりました。他の認証局とセキュリティ・プロバイダに業界全体で以下を徹底するよう提案します。

• インフラが攻撃に対抗できるようデザイン・管理されていること。
• 攻撃が発生した際に影響を軽減するため、迅速で適切な対策が取られること。
• インシデントへの対応はオープンで透明性があり、関連する当事者が、さらされているリスクについて詳細を確認できること。

CA/B Forumの一員として、GMOグローバルサインは、以下の項目を業界全体で継続的に定義・採択することを支援します。

• 透明性のあるインシデント対応と発行業務
• ネットワークとセキュリティ・インフラの継続的な監査
• オペレーションと審査業務の規格
• セキュリティ・インシデントへの迅速な対応のための技術とプロセス
• 国際当局とセキュリティ・プロバイダ間の正式協力

これらには、CA/B Forumの最低限のガイドライン、Mozilla's CA security controls、PKIとインターネット・セキュリティ全体の利益となる業界の取り組みが含まれます。

最後に、弊社はセキュリティ・プロバイダ、認証局、様々な国際当局が、脅威に関する情報の迅速かつ正確な共有において継続的に協力し合うことを支援します。

継続的な当局の介入

• 国際的な当局の多くは、Comodohackerとその他の実行犯の詳細なプロフィールを保有しており、業界関係者より集積された証拠をもとにより正確な実態を明かそうとしています。
• 他のセキュリティ・プロバイダ同様、GMOグローバルサインは、脅威に関する情報を共有し、該当する全ての当局に協力し続けてまいります。