Gate Newsの報道によると、3月16日に360が最近リリースしたセキュリティ製品「セキュアロブスター」が、*.myclaw.360.cnのワイルドカード証明書と対応する秘密鍵をローカルのインストールディレクトリに直接パッケージ化していることが判明しました。セキュアロブスターのインターフェースはカスタム版360ブラウザを基にしており、https://myclaw.360.cn:19798/のローカルアドレスからアクセスします。エンジニアはこのローカルHTTPS接続を実現するために、ワイルドカード証明書と秘密鍵をクライアントに同梱しました。このワイルドカード証明書はmyclaw.360.cnのすべてのサブドメインをカバーしており、秘密鍵が漏洩した場合、第三者がそのドメイン下のHTTPS暗号化通信を偽造できる恐れがあります。証明書は現在まだ失効されていません。360 SRCチームはこの問題は内部で既に認識されており、対応中であると回答しています。
