EFFが調べた結果、本来はKomodiaで拒絶すべきなのに受け入れてしまった証明書の事例が1600件以上見つかったという。
影響を受けるドメインには、Google(mail.google.com、accounts.google.comなど)、Yahoo!(login.yahoo.comなど)
MicrosoftのBingやWindows Live Mail、Amazon、eBay、Twitterといった大手のドメインや
銀行や保険会社のWebサイトのドメインが含まれていた。
FTTは、「Komodiaのソフトウェアのために中間者攻撃が可能になり、攻撃者がユーザーのメールや検索履歴
ソーシャルメディアや銀行のアカウントなどにアクセスできてしまう恐れがある。
ユーザーのブラウザに侵入したり暗号鍵を読んだりする不正ソフトをインストールされる可能性さえある」と解説する。
しかも問題があるのはKomodiaだけでなく、プライバシー保護をうたうソフトウェア
「PrivDog」にも同じ脆弱性があることが分かり、攻撃に使われた可能性のある証明書が見つかっているという。
今回の教訓としてEFFは、「コンピュータにプリインストールされてくるソフトウェアは信用できない」と断言。
ソフトウェアメーカーに対しては、「顧客の暗号化されたHTTPSトラフィックを傍受しようとすれば
顧客のセキュリティを危険にさらすことになる」という認識が必要だと指摘している。
以下ソース
http://www.itmedia.co.jp/news/articles/1502/27/news077.html