こんばんは、ころすけ(@wg_koro)です。
皆さんはGoogleのサービス(Gmail, Reader, Google+…etc)を使っていますか?自分はガリガリ使っています。携帯もAndroidですしw
ところで先日、このGoogleサービスの核となるURL(***.google.com)になりすますことができる証明書が、誤って発行されたというニュースがありました。
トルコの認証局、中間CA証明書を誤発行–グーグルやMS、対応を明らかに – CNET Japan たとい … |
GoogleとMicrosoftが米国時間1月3日にそれぞれ明らかにしたところによると、トルコに拠点を置くある認証局(CA)が2012年12月にセキュリティ証明書を「誤って」発行したことで、その電子証明書の交付を受けたある組織によって、さまざまなGoogleサイトへのなりすましが可能な偽の証明書が作成されてしまったという。
どういうことかと言うと、この証明書を持っている人は https://mail.google.com/ のような、正しいGoogleサービスのアドレスになりすますことができちゃうんです。
Gmailそっくりな画面を作って、https://mail.google.com/ になりすます。そこに人を誘導する。アドレスは正しいGmailアドレスなので、皆安心してID/パスワードを入力する。ほーら皆のGoogleID/パスワードが簡単に手に入ったぞーぉ♪
なんてことが可能性としてありえます。
Androidもなりすまし対策をしておきましょう
PCは各OS、ブラウザメーカーがすぐに対処する様子。ブラウザやOSのアップデートをチェックしておきましょう。
さて携帯。AndroidはOS4以上であれば一時的な対策が可能です。 ※2.xの方はできません
「設定」画面から「セキュリティ」を選択
「信頼できる認証情報」を選択
証明書一覧が出てくるので、その中から「TURKTRUST」と入っているものを探します
タップすると証明書の詳細が表示されます。下段に『無効にする」というボタンがあるので押します
「OK」を押す
チェックが外れたのを確認
このTURKTRUSTの名前が入った証明書は二つあるので、二つとも同様の方法で無効にします。
以上で一時的な対策は完了です。
この対策は大した手間かからないので、Android4.xをお使いの方はやってしまいましょう。