Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS、不正SSL証明書の失効措置を実施 - 悪用でフィッシングやMITM攻撃のおそれ

米Microsoftは、インドの公的機関から不適切にSSL証明書が発行され、悪用される可能性があるとして、同証明書を失効させる更新プログラムの提供を開始した。

問題の証明書は、インドの国立情報工学センターより発行されたもの。同センターは、インド政府の認証管理局が運営するルート証明機関の下位証明機関にあたり、証明書が信頼されたルート証明機関ストアに含まれているという。

問題の証明書を悪用して証明書を発行されると、なりすまし、フィッシング、中間者(マンインザミドル)攻撃などへ悪用されるおそれがある。米Microsoftでは、証明書を悪用した攻撃は確認していないが、Windowsにおける証明書信頼リストを更新し、証明書に対して失効措置を実施した。

「Windows 8」や「Windows Server 2012」以降では、「証明書の自動更新ツール」が導入されており、インターネットへ接続していれば、更新プログラムが自動的に適用される。

「Windows Vista」や「Windows 7」「Windows Server 2008」などでは「証明書の自動更新ツール」を導入していれば、特別な作業することなく更新が反映される。未導入のシステムでは更新プログラムを適用できず、同ツールをインストールする必要がある。

また2015年7月にサポート終了を迎える「Windows Server 2003」に関しては、プログラムは用意されておらず、同社では現在提供の準備を進めているという。

(Security NEXT - 2014/07/11 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

Android アプリ「DHCオンラインショップ」に脆弱性
埼玉で廃棄したはずの個人情報、群馬で発見 - 大東建託
常時SSL化に向けてメモリ消費を抑える技術、IEEEで発表 - ペパボ研
全日空のiOSアプリに脆弱性 - 中間者攻撃受けるおそれ
2017年のフィッシング報告は前年から減少 - 誘導先URLは1.7倍に
CSAJ、データ消去証明書の発行事業を開始 - 対応ソフトやサービス事業者を募集
県立高校で指導要録の紛失が判明 - 愛知県
Intel Crosswalk Projectに脆弱性 - 不正証明書を許可すると以降検証せず
「Adobe Creative Cloud」デスクトップ版に3件の脆弱性
府立校9校で指導要録の紛失が判明、一部復元できず - 大阪府