中国の大手企業Qihoo 360は、サイバーセキュリティ領域の有力な巨人企業ですが、その深刻な過失から生じた論争の渦中に巻き込まれてしまいました。企業のサーバー認証に使用される重要なプライベートSSL暗号化キーが、彼らの新しいAI補助機能のパブリックインストーラー内に誤って埋め込まれていました。
フォレンジックサイバーセキュリティの専門家ルカス・オレイニック(Lukasz Olejnik)がこの明らかな脆弱性を発見しました。オープンソースのOpenClaw基盤上に構築された360 Security Claw補助機能のインストールリポジトリ内で、彼は「myclaw.360[.]cn」ドメインにバインドされた完全に機能するSSL証明書を含む、保護されていないアーカイブを発見しました。最も基本的な抽出ユーティリティを使用してインストーラーを解析するだけで、この重要なキーを抽出することができます。
この暗号化シールは2027年4月までの有効期限を保持しており、プラットフォームアーキテクチャ内のすべての従属ドメインに対して主権を拡張しています。本質的には、これはマスターキーであり、サービスの基盤インフラを流れるテレメトリーの認証に対して完全な支配権を与えるものです。
この企業の規模がこの災害をさらに悪化させています。Qihoo 360は数億人のユーザーのデジタル安全保障を統括しており、中国のサイバーセキュリティ市場での圧倒的な支配権を保持しています。これはグローバルなNortonやMcAfeeと同等の地位です。皮肉なことに、このアーキテクチャの開始時に、企業の創業者周鸿祎は、システムの暗号化漏洩への絶対的な無敵性を強調して宣言していました。
このような重大な暗号化物品の公開露出は、実存的な危険をもたらします。悪意のある行為者は、企業のサーバーになりすまして完璧にユーザーのテレメトリーを傍受したり、正統なブラウザが完全に正当なものとして信頼するフィッシングドメインを構築したりすることができるようになります。本物の証明書の悪用はすでにデジタルアンダーワールド内での悪い傾向として具体化しており、このような規模の漏洩は攻撃の敷居を大幅に低下させます。
本発表時点で、Qihoo 360はこの危機について沈黙を保ったままであり、破損された証明書の取り消しについて何の確認も提供していません。これはそのような壊滅的なデータ漏洩の後に普遍的に要求される基本的な防御プロトコルです。
