Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS、不正証明書対策の更新プログラムを公開 - Firefoxも再アップデート

オランダの認証局DigiNotarにおいて、不正なSSL証明書が発行された問題で、マイクロソフトはアップデートの提供を開始した。他ブラウザベンダーも8月末のアップデートに加え、さらなる更新を実施するなど対応に追われている。

今回の問題は、DigiNotarのSSLおよびEVSSL証明書を発行する認証局インフラへ、7月に不正侵入が発生し、数百にわたる不正な証明書が発行されたもの。

同社では、問題に気がついた7月に一時証明書の無効化など対応を行ったとしているが、8月29日に「google.com」の不正な証明書がマンインザミドル攻撃に利用されたことが確認され、証明書が取り消されていなかったことが判明した。

同社の証明書は、ブラウザベンダーがルート証明書として登録していたほか、オランダ政府の証明書などについても同社が管理していたことから影響が拡大している。

問題発覚後、8月31日にマイクロソフトがセキュリティアドバイザリを公開。Windows Vista以降に影響はないとし、「Windows XP」や「Windows Server 2003」向けの更新プログラムを9月6日に提供開始した。

またMozillaでもブラウザ「Firefox 6.0.1」において、DigiNotarの証明書を無効化するアップデートを提供していたが、さらに再度アップデートを実施。

9月6日に公開した「同6.0.2」では、他認証局のクロス署名やDigiNotarが管理していたオランダ政府認証基盤の中間証明書についても無効化した。Googleにおいてもブラウザ「Google Chrome」を2度にわたりリリースし、証明書を無効化している。

オランダの政府セキュリティ機関によれば、不正に発行された証明書は「*.google.com」のほか、「*.microsoft.com」「*.mozilla.org」「*.skype.com」「login.yahoo.com」「twitter.com」「www.facebook.com」などの著名企業や組織、「www.sis.gov.uk」「www.cia.gov」といった政府機関など46種類に及んでいることが判明しており、一部は複数発行されていた。

また「Comodo Root CA」「CyberTrust Root CA」「DigiCert Root CA」「Equifax Root CA」「GlobalSign Root CA」「Thawte Root CA」「VeriSign Root CA」の証明書を20件から40件が不正取得していたという。

(Security NEXT - 2011/09/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

多数メールクライアントに送信者偽装できる「Mailsploit」が判明 - 送信ドメイン認証では防げず
「ディズニーランド入場券が当選」 とだますマルウェアメール - 不自然な日本語に中国語も
警視庁と仮想通貨取引所10社、サイバー犯罪の対処で協定
セキュリティ対策の注意喚起メールが実はマルウェアメール - 実在するアナウンスを盗用
チケットキャンプ、本人認証を厳格化 - 不正出品対策で
2017年3Qのネットバンク不正送金、法人で被害額が増加
不正サイトのマルウェア拡散、「仮想通貨採掘ツール」にシフト - 相場高騰が後押しか
オムロンとシスコ - 制御装置のセキュリティ分野で技術提携
ICクレカ保有者は71.8% - 非対応店舗に否定的な印象も
「Movable Type」向け会員制サイト構築用プラグインなどにSQLiの脆弱性