コードサイニング証明書獲得に用いられる企業 ID 窃盗, 山本弘『ＭＭ９―invasion―』

私は、被害者と不正な証明書にサインした認証局である Comodo の助けを借りて、このケースを調査した。そして同証明書が、実在の従業員の名前で申請され、Comodo は電子メールだけでなく、電話による確認も行ったことが分かった。この詐欺師は、その従業員の電子メールにアクセスすることができ、電話による確認は、違う人のところにかかったか、何らかの誤解があったようだ。そのため、電話によるチェックは、このケースを食い止めることができなかった。

そこまでかいくぐられてしまうのか。でも、こうなると聞いたこともない企業の証明書を信頼していいものかという気分になるね。