MS、不正証明書対策の更新プログラムを公開 - Firefoxも再アップデート
オランダの認証局DigiNotarにおいて、不正なSSL証明書が発行された問題で、マイクロソフトはアップデートの提供を開始した。他ブラウザベンダーも8月末のアップデートに加え、さらなる更新を実施するなど対応に追われている。
今回の問題は、DigiNotarのSSLおよびEVSSL証明書を発行する認証局インフラへ、7月に不正侵入が発生し、数百にわたる不正な証明書が発行されたもの。
同社では、問題に気がついた7月に一時証明書の無効化など対応を行ったとしているが、8月29日に「google.com」の不正な証明書がマンインザミドル攻撃に利用されたことが確認され、証明書が取り消されていなかったことが判明した。
同社の証明書は、ブラウザベンダーがルート証明書として登録していたほか、オランダ政府の証明書などについても同社が管理していたことから影響が拡大している。
問題発覚後、8月31日にマイクロソフトがセキュリティアドバイザリを公開。Windows Vista以降に影響はないとし、「Windows XP」や「Windows Server 2003」向けの更新プログラムを9月6日に提供開始した。
またMozillaでもブラウザ「Firefox 6.0.1」において、DigiNotarの証明書を無効化するアップデートを提供していたが、さらに再度アップデートを実施。
9月6日に公開した「同6.0.2」では、他認証局のクロス署名やDigiNotarが管理していたオランダ政府認証基盤の中間証明書についても無効化した。Googleにおいてもブラウザ「Google Chrome」を2度にわたりリリースし、証明書を無効化している。
オランダの政府セキュリティ機関によれば、不正に発行された証明書は「*.google.com」のほか、「*.microsoft.com」「*.mozilla.org」「*.skype.com」「login.yahoo.com」「twitter.com」「www.facebook.com」などの著名企業や組織、「www.sis.gov.uk」「www.cia.gov」といった政府機関など46種類に及んでいることが判明しており、一部は複数発行されていた。
また「Comodo Root CA」「CyberTrust Root CA」「DigiCert Root CA」「Equifax Root CA」「GlobalSign Root CA」「Thawte Root CA」「VeriSign Root CA」の証明書を20件から40件が不正取得していたという。
(Security NEXT - 2011/09/07 )
ツイート
PR
関連記事
動画配信サービス「Hulu」にPWリスト攻撃 - 強制リセット実施
顧客情報を用いた脅迫容疑で従業員が逮捕 - 東北電力子会社
日産のカーシェアで不正ログイン - 車両の不正利用が発生
先週注目された記事(2024年9月1日〜2024年9月7日)
従業員メルアカより送受信メール流出の可能性 - PEファンド運営会社
巧妙化続くサポート詐欺、窓口相談は前年度の約1.6倍
「Atlassian Confluence」の既知脆弱性狙う攻撃が6月より増加
元小学校講師、退職後の不正アクセスで逮捕 - 浦安市
ゴルフダイジェストにPWリスト攻撃 - 閲覧や改ざんの痕跡なし
申込フォーム設定ミスで入力情報が閲覧可能に - 静岡東海証券