Hatena::ブログ(Diary)

粉末@それは風のように(日記) このページをアンテナに追加 RSSフィード

2009-01-23

史上最大の水爆「Tsar Bomba」

 任意の場所で核爆発をシミュレーションできる『Google Maps』マッシュアップ - WIRED VISION

で紹介されている『Ground Zero』を試してみたんだけど……「Tsar Bomba(ツァーリ・ボンバ)」の威力が凄まじい.ちなみに,このシミュレーションでは,リトル・ボーイやファット・マンといった第2次世界大戦時に実際に使われた核爆弾や,B61のような現在主力の核爆弾小惑星といった項目が選べる.

 「Tsar Bomba(ツァーリ・ボンバ)」は旧ソ連が開発した史上最大の水爆.人類史上最悪の兵器とも言える代物で,その威力は50メガトンもある.致命的被害を被る範囲は爆心地から半径約60kmという凶悪なもので,被害を受ける範囲は半径60km〜80kmにも及ぶ.馬鹿でかい爆弾で,余りにも巨大なため,実戦で使われることはまずないのが唯一の救いか.

 この「Tsar Bomba(ツァーリ・ボンバ)」を『Ground Zero』で試してみたんだが,やはり・・凄まじい.50メガトンと言われてもすげえ・・TNT爆弾5000万トン分の威力か・・・ってくらいにしか分からないが,地図上で被害範囲を見せられると・・・息を呑むしかない.例えば,名古屋に落とせば愛知県のほぼ全域が破壊され,西は彦根の近くまで致命的な熱線に襲われることになる.

 興味本位でいろいろ試したが……面白いという感覚よりは,ただただ怖いという思いしか抱かなかった.世界から核兵器を無くす・・というのがあくまで理想なのだろうけど,それはしょせん理想に過ぎない.となれば,第一義的には相互確証破壊の原則から,核兵器を持つことによって他の核戦力を抑制するか,あるいは確証破壊を無効にする,必ず破壊できるとは限らない状況を作り出すしかない.となれば,やはりMDなどの防衛構想は必要だろう.核を持てないなら,原則を打ち崩すしかない.最も,現状では最終的にはアメリカさんの核がなければ何ともならないけども.

 専守防衛の理想を貫くなら,フォースフィールドのような絶対的な盾が欲しいなあ.

2009-01-15

AntivirがPowerpointを誤検出する問題

 昨日,研究室のパソコンをAvira Antivirでフルスキャンをしていたら"POWERPNT.EXE"がワームとして検出された.Genがついてなかったから,シグネチャによる検出だと思う.で,今日,定義ファイルを更新して再度スキャンしたら,なんか直ってた.やっぱり,誤検出だったらしい.

 ちなみに,同じように誤検出が起こってた人もやっぱりいるみたいで,VirSCAN.orgで確かめてた人もいるようだ.

 軽く調べた感じでは,ネット上には"POWERPNT.EXE"を誤検出したっていう記事がほとんど見受けられなかったので,大した影響は無かったようだし,既に修正されているから問題もほとんどないのかなあ.

2009-01-11

ハマス・ロケットの実態

 昨日,テレビ朝日系のニュース番組を見ていて,現在ガザで起こっている戦闘の責任はハマスにある節のことをニュースキャスターコメンテーターが述べていた.しかし,どう考えてもそれは違うだろう.元はといえば,イギリスの三枚舌外交が問題の発端であるし,イスラエルという国は不法移民ユダヤ人が勝手に独立宣言をしたのが発端である.パレスチナ人にしてみれば,現状は国を,土地を奪われたに等しい.そして,パレスチナ問題の発端も,ユダヤ人テロリスト大量虐殺がきっかけである.

 ハマスロケット弾を打ち込まなければ・・・というが,そもそもがユダヤ人テロリストによる大量虐殺によって,大量のパレスチナ難民が生まれた.そして,その後も土地を不法に略奪し,パレスチナ人を追いやっているのはイスラエルのほうだろう.ロケット弾はそもそもがイスラエルの非道な行為に対する報復行為であって,決して報復行為が正当化されることはないけれども,一方的にハマスが非難されるのはおかしい.むしろ,第一義的にイスラエルの行為こそ非難されるべきだろう.だいたい,経済封鎖され,侵攻され,散々嫌がらせされれば,一矢報いたくもなるだろう.

参考文献:

 [1] パレスチナ問題 - Wikipedia

 イスラエルは今回のガザ侵攻はハマスロケット弾攻撃を根絶するためと言っている.4,000発以上のロケット弾による被害に対する報復として,今回の作戦を実行したと述べている.しかし,ハマスロケット弾は大した脅威ではないことが以下を見れば分かる.

 The Monstorous Hamas Rockets - KABOBfest

道路の舗装すら砕けないハマスロケット弾.せいぜい,プラスチックのルーフを砕く程度だろう.運が悪ければ死傷する危険性もあるが,はっきり言って,危険性なんて投石とほとんど変わらないことが分かる.対して,イスラエルの攻撃は(The Monstorous Hamas Rocketsの一番下の写真)……はるかに凶悪であることが分かる.

 4,300発ものロケット弾というが,それによっていったい何人の犠牲者が出ただろうか.それに対して,イスラエルはいったい何人ものパレスチナ人を虐殺しただろうか.1人殺されれば数百人を殺すのか.

Have you ever seen what those rockets do? The damage... the casualties? Did you ever wonder why for their propaganda campaign, the Israeli consulate in NY displayed a balloon for every rocket launched, not for every rocket victim?

     The Monstorous Hamas Rockets - KABOBfestより引用

とあるが,それはそうだろう.ただ,ロケット弾の数が非常に多いことをアピールして,その脅威性を何とかして示すしかないだろう.なにせ,ロケット弾による犠牲者は,交通事故などによる犠牲者よりもはるかに少ないのだから.

 イスラエルは即座に非人道的行為を集結させ,問題解決のために全力を尽くすべきだ.そして,マスコミはもうちょっと実際の状況を正確に伝えるべきだろう.いい加減,イスラエル寄りの嘘に塗り固められた報道にはうんざりする.

 ガザ攻撃13日目 死んだ母親と衰弱したこどもたち - p-navi info

 Robert Fisk: Why do they hate the West so much, we will ask - THE INDEPENDENT

 イスラエルの嘘プロパガンダ・マシン全開

2009-01-07

USBメモリで感染するマルウェアが"未だ"に急増中

 自動実行機能を悪用したUSBメモリ感染するマルウェアが未だに急増しているらしい.

 USBメモリで感染するマルウェアが急増──セキュリティ意識の盲点を狙う - COMPUTERWORLD.jp

 自動実行機能を悪用するワーム - ITPro

 わが身を守る10の方法 - 快適なネットライフに向けて -で書いたように,ESET Threat Blogの「Ten Ways to Protect Yourself(身を守る10の方法)」で「オートランを無効にする」ことが最初に挙げられている.

 Windows Vistaは,初期設定でUSBメモリを差し込むと自動実行されるようになっている.そのため,USBメモリを差し込んだだけでマルウェア感染する危険がある.Windows XP/2000では,差し込んだだけではautorun.infは解釈されないが,マイコンピュータをダブルクリックしたり,エクスプローラで開いた場合でもアイコンダブルクリックして開いた場合には,「autorun.inf」が解釈される.

 USBメモリからマルウェア感染しないためには,右クリックでドライブを開いたり,エクスプローラでツリーから開けば「autorun.inf」は解釈されないので,マルウェアが自動実行されて感染するという心配はない.また,レジストリ設定を変更することで,「autorun.inf」を無効化する方法がある.ただし,この方法に関して,US-CERTは他の方法を推奨しているようだ.レジストリの設定(NoDriveTypeAutoRunやNoDriveAutoRun)やUS-CERTの推奨設定など,USBウイルス対策に関して詳しくは「USBメモリ経由のマルウェア感染が猛威を振るっている - セキュリティ組織や企業が警告 -」を参照して欲しい.

 大半のUSB経由型のマルウェアは,既存のシグネチャによって検出可能なものであり,アンチウイルスソフトを導入していれば(かつ常に最新の状態に更新していれば)防げる.また,一部のUSB感染型のマルウェアに関しても,「不用意にUSBを差し込まない」「自動実行機能(オートラン)を無効にしておく」「隠しファイル・フォルダもすべて表示にする」「拡張子を表示する」などの対策によって防げる.また,当然ながら,不用意に実行ファイルを開いたりしない・・というのは言うまでもない.つまり,セキュリティリテラシーを高く持ち,それ相応の対策をしていれば,そう易々と感染するものではない.

2009-01-06

SSL証明書の偽造に成功

 SSLの署名アルゴリズムがMD5-RSAの場合は警告を出す

 MD5のクラックに成功 偽の公開鍵証明書を作成可能に

に関して,国内ITニュースサイトの関連記事紹介.

 SSL証明書の偽造に成功、ハッシュ関数の脆弱性を応用 - ITmedia

 「SSL証明書の偽造」に研究者らが成功、計算には200台のPS3を使用 - ITPro

 SSLが破られる -- ハッカーがMD5の衝突を利用してCA証明書の偽造に成功 - ZDNet

 Webブラウザーは、デジタル署名だけを見て、その証明書が大手認証局に発行されたものかどうかを検証する。このため、前述のような偽造証明書を本物だと認識し、ユーザーに警告を出すことなく、SSL通信を開始する。これを悪用すれば、フィッシング詐欺サイトのような悪質サイトを、大手認証局によって証明書を発行された有名サイトに見せかけることが可能となる。

 なお現時点では、現実的な時間内で偽造が可能なのは、MD5署名されたデジタル証明書のみ。SHAを使っている場合には、影響を受けないとされている。研究者らが3万サイトを対象に調査したところ、およそ9000サイトがMD5署名された証明書を使用。調査時点では、「RapidSSL」「FreeSSL」「TrustCenter」「RSA Data Security」「Thawte」「verisign.co.jp」といった認証局が、署名MD5を使っていたという。

     「SSL証明書の偽造」に研究者らが成功、計算には200台のPS3を使用 - ITProより引用

 ユーザー側では本物か偽物かを判断するのは非常に難しい.実際のところ,MD5による署名はすべて無視するか,CA(Certificate Authority)を信じるしかない・・といった感じか.脆弱なCAが早々にSHA-1やより安全なSHA-2, SHA-3に乗り換えてくれるのを期待するしかない.

 しかしながら,研究者は以下のように発表している.

今回の発表で、SSL証明書の偽造が可能であることが示されたものの、研究者らは「パニックになる必要はない。インターネットが崩壊したわけではない(No need to panic, the Internet is not completely broken)」とコメント。セキュリティ組織やベンダーも同じ見方だ。

 例えばマイクロソフトでは、2008年12月31日に公開したセキュリティアドバイザリの中で、「この新しい発表により、お客様に対するリスクが特段に上がるわけではありません」とコメント。「研究機関は、この攻撃に関する暗号学的な詳細をまだ公表しておらず、詳細情報のない状態で、この攻撃を再現することはできません。マイクロソフトでは、この件を悪用した攻撃活動を現時点では確認していません」としている。

     「SSL証明書の偽造」に研究者らが成功、計算には200台のPS3を使用 - ITProより引用     

 ただ,MD5はだいぶ前からコリジョンが発見され,理論的な脆弱性が明らかになっていた.今回,それが現実的に可能であることが示されたわけで,もしかしたらどこかの悪意を持った者が同じようなことをする可能性はあるということだ.現段階では現実的脅威ではないにせよ,可能であるならば,SSLの署名アルゴリズムがMD5-RSAの場合は警告を出すなどの対策を講じるべきだろう.

高級洋食器の「ウェッジウッド」が破綻

 まさか・・あのウェッジウッドが破綻するなんてなあ・・・.

 英高級陶器の老舗「ウェッジウッド」破綻 - 日本経済新聞

 ウェッジウッドは言わずと知れたイギリスの高級洋食器,250年の歴史を持つ王室御用達の老舗高級陶磁器ブランド.思うに,世界的な景気悪化より何より,経営方針にも問題があったんじゃないかなあ・・・.もともと,上流階級向けの高級ブランドだった.それが,価格を安くして中流階級の需要増加を狙った.しかし,価格を安くすると付加価値も薄れる.更には,価格競争の末,工場をインドネシアのほうに移転した.そうすると,ますます高級感が薄れてしまう.イギリス製とインドネシア製,同じ商品を作っていても,やっぱり高級感が薄れるし,ブランドとしての価値が下がってしまう.そして,気づけば・・王室御用達の老舗高級陶磁器ブランドだったはずが,魅力の感じられないただの陶磁器ブランドになってしまっていた.

 今回の破綻は,景気悪化に伴う販売不振が主な原因なのかもしれないけど,実際のところ,高級ブランドから中高級ブランド路線を進んでしまったことが……命運を決する重要な出来事だったんじゃないかなあと思えてならない.

2009-01-04

わが身を守る10の方法 - 快適なネットライフに向けて -

 ESET Threat Blogで「Ten Ways to Protect Yourself(身を守る10の方法)」がエントリされてるので,紹介しようかと思う.ただ,まだ8つしかエントリされてないが.

  1. Disable Autorun in Windows
  2. Keep applications and operating system components up-to-date with automated updates and patches, and by regularly reviewing the vendors’ product update sections on their web sites.
  3. Log on to your computer with an account that doesn’t have “Administrator” privileges, to reduce the likelihood and severity of damage from self-installing malware.
  4. Use different passwords for your computer and on-line services.
  5. Don’t trust unsolicited files or embedded links, even from friends.
  6. Don’t disclose sensitive information on public websites like FaceBook or LinkedIn.
  7. If sensitive information is stored on your hard drive (and if you don’t have -something- worth protecting on your system, you’re probably not reading this blog…), protect it with encryption.
  8. Don’t expect antivirus alone to protect you from everything.

いちおう,拙い日本語訳(というか意訳)も載せておく.

  1. オートランを無効にするべし
  2. システム及びアプリケーションのバージョンを常に最新の状態にするべし
  3. アドミニストレータ(管理者)権限を有するアカウントログインしてはならない
  4. パソコンやオンラインサービスで同じパスワードを用いてはならない
  5. 友人からであっても,不審なファイルやリンクは開いてはならない
  6. SNSブログなど,ネット上でプライベートな情報を無闇に書き込んではいけない
  7. もし大事なデータがハードディスクに保存されているなら,きちんと暗号化するべし
  8. アンチウイルスだけですべての脅威を取り除けると思うな
引用元:

 [1] (One out of) Ten Ways to Dodge Cyber-Bullets - ESET Threat Blog

 [2] Ten Ways to Protect Yourself: Part 2 - ESET Threat Blog

 [3] Ten Ways to Protect Yourself: Part 3 - ESET Threat Blog

 [4] 10 Ways to Protect Yourself: Part 4 - ESET Threat Blog

 [5] 10 Ways to Protect Yourself: Part 5 - ESET Threat Blog

 [6] 10 Ways to Protect Yourself: Part 6 - ESET Threat Blog

 [7] Protection Part 7 - ESET Threat Blog

 [8] Self-Protection Part 8 - ESET Threat Blog


というわけで,「身を守る10の方法」のうち,ESETで既にエントリされていた8つを紹介した.まあ,どれも当たり前というか,一般に言われていることなのだが.

 「オートランを無効にする」というのは,まさにUSBウイルス対策としての話.未だにUSBウイルスは猛威を振るっていて,トレンドマイクロの11月の被害報告では被害件数が最多だった.(関連[1]) Windows Vistaは,初期設定でUSBメモリを差し込むと自動実行されるようになっている.そのため,USBメモリを差し込んだだけでマルウェア感染する危険がある.Windows XP/2000では,差し込んだだけではautorun.infは解釈されないが,マイコンピュータをダブルクリックしたり,エクスプローラで開いた場合でもアイコンダブルクリックして開いた場合には,「autorun.inf」が解釈される.

 USBメモリからマルウェア感染しないためには,右クリックでドライブを開いたり,エクスプローラでツリーから開けば「autorun.inf」は解釈されないので,マルウェアが自動実行されて感染するという心配はない.また,レジストリ設定を変更することで,「autorun.inf」を無効化する方法がある.ただし,この方法に関して,US-CERTは他の方法を推奨しているようだ.レジストリの設定(NoDriveTypeAutoRunやNoDriveAutoRun)やUS-CERTの推奨設定など,USBウイルス対策に関して詳しくは関連[3]を参照して欲しい.

関連:

 [1] 増え続ける被害 USBウイルスにご用心

 [2] ビクターの販促用USBメモリにウイルス混入

 [3] USBメモリ経由のマルウェア感染が猛威を振るっている - セキュリティ組織や企業が警告 -


 「システムを常に最新の状態にする」というのは,Windows Updateはもちろんのこと,パソコンにインストールされているアプリケーション全般に関して,きちんとアップデートをしようということ.脆弱性があるアプリケーションがシステムに存在していた場合,そこを付け込まれてシステムを掌握されてしまう危険性がある.そのため,常にソフトウェアアップデートを心がけ,最新の状態に保っておかなければならない.

 「管理者権限でログインするな」というのは,不用意に管理者権限のアカウントを使わないことで,万が一マルウェアが入り込んでも,システムにインストールされる危険性を減らすことが出来る.必要なときだけ管理者権限を使い,普段は制限のあるアカウントを利用することで,マルウェア感染するリスクを回避しようってこと.

 「パスワード」に関しては,すべて同じだった場合,そのパスワードが漏洩するリスクがアップするのと,パスワードが漏洩した場合にすべてのアカウントが危険に晒されるため.1つのパスワード利用回数が増えれば当然漏洩する可能性は増えるし,漏れればすべてのアカウントが乗っ取られる危険に晒される.

 「友人からでも添付やリンクに不用意にアクセスしたら駄目」というのは,送信者が友人であっても,偽装されている可能性や友人がマルウェア感染してメールが送信されている可能性があるため.例え,送信者が誰であっても,頼んでもいないのに添付やリンクがあった場合は,怪しまなければならない.

 「プライベートな情報の扱いには注意する」というのは,それそのものは無害な情報であっても,他の無害な情報と組み合わせて,ソーシャルエンジニアリング攻撃に利用される可能性があるということ.ネットに個人情報を書くというのは,街中で声高に自分の名前を言うような行為であることを忘れてはいけない.

 「機密情報は暗号化する」というのも,言うまでもないことで,インターネットに接続されたパソコンである以上は,いつ,どんな形で情報が漏洩するか分からない.あるいは,物理的な盗難に合う可能性だってある.万が一,情報が漏洩してしまっても,暗号化しておけば一定の安全は保証されるだろう.

 「アンチウイルスソフトだけでパソコンを守れると思うな」というのは,言わずもがな,ファイアーウォールソフト,アンチスパムソフト,アンチフィッシングソフト,その他様々な攻撃からパソコンを守るために,セキュリティソフトで総合的に守らなければならないということ.そしてまた,偽セキュリティソフトの存在にも気をつけなければいけない.(偽セキュリティソフト:関連[1],[2])

関連:

 [1] 感染被害レポートTop10 BitDefender調べ

 [2] マイクロソフトは10日間に100万台ものパソコンから偽セキュリティソフトを削除した


 以上が,ESET Threat Blogで紹介されていた「Ten Ways to Protect Yourself(身を守る10の方法)」.それぞれについて詳しく書かれているので,興味があれば,上記引用元[1]〜[8]も参照してみてくださいな.


 さて,以上だけだと当たり前すぎて面白くないので,その他,ネット関連の「10 ways to protect yourself」な記事をいくつか紹介する.

  1. Make sure your operating system's automatic updates and firewall are turned on.
  2. Use security programs including anti-virus and anti-spyware software, and subscribe to security updates.
  3. Run a full system scan at least once a month.
  4. Don't open attachments or click on links in e-mails from people you don't know.
  5. Use passwords with at least eight characters and numbers and symbols, and change them regularly.
  6. Access the Internet through a router - it creates an implicit firewall for you, so bots can't reach your machine directly.
  7. Don't use the same password for every account - and use more complex passwords for "important" transactions, such as with your bank.
  8. Don't connect to the Internet using a wireless connection without a password.
  9. Don't send sensitive information to a Web site that does not begin with "https," which means it's secured.
  10. When you receive an e-mail, think about whether it's really from the purported sender, rather than an impostor, before taking action.

     10 ways to protect yourself online - SILICONVALLEY.comより引用

  1. OSを常に最新の状態にして,ファイアーウォールを有効にしましょう
  2. セキュリティソフトを導入しよう.もちろん,定義ファイルの更新は忘れずに
  3. 最低でも月に1回はアンチウイルスソフトでシステムのフルスキャンをしよう
  4. 知らない人からのメールを不用意に開いちゃ駄目です(メッ)
  5. 最低でも記号を含む英数字8文字以上のパスワードを使って,定期的に変更しよう
  6. インターネットにアクセスするときはルータを通そう(ルータにファイアーウォールが実装されてるから,ボットがあなたのパソコンに直接入り込んでくる心配がなくなる)
  7. 各所で同じパスワードを使用してはいけない(銀行のような特に重要なアカウントは難しいパスワードにしよう)
  8. パスワードなしでワイヤレス接続を使ってインターネットに接続してはいけません
  9. SSLで守られていない通信で,機密情報を送ってはいけません
  10. メールを受け取っても,すぐに行動するのではなく,まず本物かどうか疑おう

  1. Use a high quality anti-virus program.
  2. Always use your anti-virus software.
  3. Keep your antivirus programs up to date.
  4. Keep your computer up to date.
  5. Backup your data regularly.
  6. If you use floppy disks or USB drives on public computers like your school computer lab, Kinko’s, or even digital photo printing store make sure you scan them for viruses.
  7. Be wary of email attachments.
  8. Use text email if possible.
  9. Use downloaded freeware and shareware files or software with caution.
  10. Be wary of links in IM or instant messaging software.

     Top 10 Ways To Protect Yourself From Computer Viruses - VIRUS & SPYWAREより一部抜粋して引用

  1. ハイクオリティなアンチウイルスソフトを使おう
  2. 常にアンチウイルスソフトを有効にしておこう
  3. アンチウイルスソフトは常に最新の状態に
  4. コンピュータアップデート(Windows Update等)も忘れずに
  5. 定期的にデータのバックアップを取っておこう
  6. 公共のパソコンでUSBメモリなどを利用する場合は,それらのウイルススキャンも忘れずに
  7. メールの添付ファイルには警戒しろ
  8. 可能ならテキストメールを使おう
  9. ネット上のファイルをダウンロードするときは用心すべし
  10. インスタントメッセンジャーで送られてきたリンクには注意すべし

てなわけで,いくつか10の方法を紹介したけどどうだっただろう.けっこう,重複が多かったというか,やはり,セキュアなネットライフを送るための最低限の方法ってのは決まってくるってことだろう.ちなみに,日本語訳が適当なのはご愛嬌・・途中からしんどくなってき(ry

 以上の10の方法に書かれていることはどれも当たり前の話である.しかし,この最低限の当たり前のことが守られていないために,マルウェア感染,情報漏えいなどが発生してしまっているケースも少なくないだろう.いま一度,身の回りの確認が望まれる.快適なネットライフのために.

 ちなみに・・余談なんだけど,どの「身を守る10の方法」にも書かれていなかったんだけど,最も大事な自己防衛策が1つある.はっきり言って,ネット関連の被害ケースの大半はこれを守ることで防げるのではないかと言っても過言ではないくらい・・・それは・・・

 「アダルトサイトは利用しない,アクセスしない,近づかない

これさえ守れば被害の大半は防げる気がするんだけど・・・あ,それは理想論ですか・・・すいません.


(最終更新日 2009/01/07 06:30)

ミラーリングはバックアップじゃない

 Slashdot読んでて思ったこと.

 ミラーリングはバックアップにはならない - Slashdot

 ミラーリングRAID-1は同義だし,ミラーリングというのは,別の場所に"リアルタイム"にデータの複製を保存することであって,同期間隔を延ばせばバックアップになる・・って節子それ違う,それはミラーリングやない定期バックアップや.

 ミラーリング(RAID-1)はあくまでシステムの冗長化による耐障害性の向上のために用いられるものであって,データのバックアップとは意味,目的が違う.これは,RAID全般に言えることで,RAIDバックアップは用途が第一義的に違うため,それぞれ代替にはなり得ない.

 大雑把に言えば「RAID=物理的障害対策」「バックアップ=論理的障害対策」であって,ちゃんと認識しなければいけないし,きちんと住み分けられなければならない技術だろうと思った.まあ,言葉の定義の問題だって言われると,それに近い部分はあるけどね.

2009-01-03

SSLの署名アルゴリズムがMD5-RSAの場合は警告を出す

 MD5のクラックに成功 偽の公開鍵証明書を作成可能に

で,「MD5による署名はすべて無視するか,CA(Certificate Authority)を(無条件に)信じるしかない」と言ったが,さっそくMD5-RSAが証明パス(certificate chain)に使われている場合は警告を出すという動きが出てきたらしい.

 SSL Blacklist 4.0 - CodeFromThe70s.org

SSL Blacklistは現在,RSA署名MD5アルゴリズムを使用する証明パスを検出して警告する」とのこと.12/31にMD5署名アルゴリズムを検出する機能が追加されたらしい.ちなみに,「SSL Blacklist」というのはFirefoxのアドオンで,ろくでもない証明書を使っているSSLサイトの識別の補助をしてくれるもの.

 本物のMD5署名の証明パスと偽造された証明パスを自動的に見分ける方法は無く,DNSポイゾニングなどの他の攻撃と組み合わされば,クライアント側で判断するのは非常に困難になってしまう.今後は,MD5=信頼出来ない・・と判断せざるを得ないのかもしれない.