ニュース

ルート認証局がスパイウェアの開発元? 「Google Chrome」が「TrustCor」を削除へ

「Microsoft Edge」「Firefox」からも削除済み

公式ブログ「Google Online Security Blog」における生命

 米Googleは1月13日(現地時間)、「TrustCor」の発行する証明書を信頼できないとし、「Google Chrome」のルートストアから削除すると発表した。昨年末、Mozillaのコミュニティサイトに寄せられた通報を調査した結果、「オンラインにおけるセキュリティやプライバシーを低下させたり破壊したりしようとする行為」が認められたという。

 ことの発端は、米Wall Street Journal誌による昨年4月の報道。それによると、一部のAndroidアプリで採用されていたテレメトリ(利用状況などを測定して送信すること)SDKにユーザー行動を追跡するコードが含まれており、Googleによりストアから排除された。このSDKを開発・提供していたのはMeasurement Systemsという会社だったが、なんとこの会社は米国の政府機関に通信傍受サービスを販売してきたPacket Forensics社とつながりがあった。

 以降、セキュリティ研究者がさらなる調査を進めたところ、Measurement Systems社の役員はデジタル証明書の発行を行っているTrustCor Systems社と共通で、しかも同社が運営するエンドツーエンド暗号化(E2EE)を謳った匿名メールサービス「Msgsafe」が実はE2EEを行っていないことが判明した。この2社はともにパナマに拠点を置いている。

 そのほかにも、ホームページで案内されている会社の情報に不確かな記述があったり、競合サービスのドメインに似たドメインを登録して「Msgsafe」に転送しようとしていたことも明らかになっている。

 研究者はTrustCorが不正な証明書を発行しているという明確な証拠までは掴めておらず、TrustCorも疑惑を否定している。しかし、一連の不審な動きは証明書を発行する機関としてはふさわしくないのは確かだろう。

 TrustCorに対する懸念は昨年末、「Firefox」の公式フォーラムを通じてGoogleと共有され、「Chrome」でもルートストアからTrustCorが除かれることが決定した。具体的には「Chrome 111」のタイミング(ベータ版は2月9日頃、安定版は3月7日頃にリリース)で、TrustCorの発行する証明書が信頼できないものとして扱われるようになる。同社の証明書を用いたWebサイトでは証明書エラーが示され、表示がブロックされる。

「Chrome」のルートストア

 同社は「Chrome」ユーザーのセキュリティとプライバシーを重視しており、この価値観に妥協するつもりはないとしている。

 なお、「Microsoft Edge」や「Firefox」ではすでに同じ措置が取られているとのこと。AndroidでもTrustCorのルートCA証明書が将来的に取り除かれる。