Firefox 3.6のルート証明書にはチャイナリスクが潜んでいます。本記事では、その詳細と回避方法を説明します。(Firefox 2、Firefox 3.5にも同様のリスクがあるようです)

そもそも、チャイナリスクとは経済成長著しい中国に見られる一連の危うさを表した言葉で、政治、経済、環境と、あらゆる問題で叫ばれています。今回、Firefoxに噴出したチャイナリスクは、これらの中でもセキュリティリスクに該当する事柄です。

Firefoxのルート証明書には2009年10月からCNNICが登録されており、この機関から発行された証明書をウェブサイトで常に信頼する設定にされています。しかし、度重なる中国への不信感から、この証明書を削除して欲しいとの要望が噴出しました。

Bug 542689 -  Please remove CNNIC CA root certificate from NSS (Bugzilla)

CNNICの正式名称はChina Internet Network Information Center。中国のインターネット事業を一手に束ねる公益法人です。主な業務は中国のドメインcnの管理。日本のJPNICのような存在です。通常であれば、他の企業よりも何十倍も信頼出来る機関であるはずでした。

ですが、新年早々、Googleを含む世界的な大企業が次々と中国国内から攻撃を受けていた、と言うニュースが報じられました。Googleのメールサービスを利用する人権活動家への諜報活動や企業機密目的だったようです。Googleは明確な言及を避けていますが、アメリカ政府が動いた事などから、中国政府が関わっていたのではないか、と分析する人々もいます。その為、CNNICも不正に加担する恐れがあり到底信用出来る存在ではない、と言う訳です。

更に上記のWikipedia英語版の項目には、引用元不明ながらも次のような警告があります。CNNICが公式配布しているインターネットツールにはマルウェアが含まれているそうです。

CNNIC produces one of the best-known malwares in China: the Chinese-Language-Surfing Official Edition(中文上网官方版软件). The software is frequently bundled with other adware/sharewares. It was declared malware by Beijing Network Industry Association(北京市网络行业协会) and San Ji Wu Xian Co Ltd., the company behind 360 Safeguard(360安全卫士), an anti-virus software. San Ji Wu Xian was sued by CNNIC for 150,000 RMB and the court ruled out favorably towards CNNIC.

このような事件から中国に対して少しでも不信感を持っているなら、自らCNNICをルート証明書から外してしまいましょう。方法は次の通り。

Firefoxのメニューから[ツール]-[オプション]をクリック。右端の[詳細]タブ、更にその中の[暗号化]タブを開き、証明書の項目にある[証明書を表示...]ボタンをクリックして下さい。

証明書マネージャの[認証局証明書]タブを開いた後、発行者名一覧からCNNIC ROOTを選択して下さい。アルファベット順に並んでいます。CNNIC ROOTを選択したら[設定...]ボタンを押し、[認証局証明書に対する信頼性の設定]ウィンドウを開きます。

ここで[この証明書をWebサイトの証明に使用する]のチェックを外します。もし、他の項目にもチェックが入っていたなら全て外しましょう。最後に[OK]ボタンを押せば完了。これでCNNICが自動的に信頼されることは無くなりました。「チェックを外すだけでは不安だ」と言う方は、[証明書マネージャ]の右下にある[削除]ボタンを押し、思い切ってCNNICを一覧から排除してしまっても構いません。

この回避策は一時しのぎです。自由で安全なインターネットを目指すために、Mozillaがこの問題にどう対処するのか、注意深く見守っていきましょう。