セキュリティ業界では、「ベテランドライバー」ともいわれる人物も、たまには排水溝で転ぶことがあります。最近、360社が開発したAI新製品である「360セキュリティ・ロブスター」に深刻な基本的なセキュリティの欠陥が発覚し、AI製品の公開プロセスに対する業界全体の疑問を引き起こしました。

調査によると、この出来事の原因は、360セキュリティ・ロブスターのインストールパッケージに直接、*.myclaw.360.cnという広域ドメインのSSL秘密鍵と証明書が含まれていたことです。このような行為は、自宅の「万能キー」を公共の場に置き忘れたようなものです。攻撃者が秘密鍵を入手すれば、理論上、サーバーを偽造したり、中間者攻撃を実行したり、ユーザーのトラフィックを乗っ取る可能性があります。

この問題に対して、360社は迅速に対応し、この問題は公開プロセスにおける基本的なミスによるものであり、内部ドメインのサイト証明書が誤ってインストールパッケージに含まれてしまったと説明しました。

損失を最小限に抑えるため、360は以下の緊急対策を講じました:

即時無効化: 今回の証明書はすでに無効化され、現在は完全に機能しなくなりました。

リスク評価: 官報によると、一般ユーザーには今現在影響はなく、技術的には秘密鍵を使ってサーバーを偽造する可能性は封鎖されています。

国内のサイバーセキュリティ分野の先駆けである360