MS、不正SSL証明書の失効措置を実施 - 悪用でフィッシングやMITM攻撃のおそれ

米Microsoftは、インドの公的機関から不適切にSSL証明書が発行され、悪用される可能性があるとして、同証明書を失効させる更新プログラムの提供を開始した。

問題の証明書は、インドの国立情報工学センターより発行されたもの。同センターは、インド政府の認証管理局が運営するルート証明機関の下位証明機関にあたり、証明書が信頼されたルート証明機関ストアに含まれているという。

問題の証明書を悪用して証明書を発行されると、なりすまし、フィッシング、中間者（マンインザミドル）攻撃などへ悪用されるおそれがある。米Microsoftでは、証明書を悪用した攻撃は確認していないが、Windowsにおける証明書信頼リストを更新し、証明書に対して失効措置を実施した。

「Windows 8」や「Windows Server 2012」以降では、「証明書の自動更新ツール」が導入されており、インターネットへ接続していれば、更新プログラムが自動的に適用される。

「Windows Vista」や「Windows 7」「Windows Server 2008」などでは「証明書の自動更新ツール」を導入していれば、特別な作業することなく更新が反映される。未導入のシステムでは更新プログラムを適用できず、同ツールをインストールする必要がある。

また2015年7月にサポート終了を迎える「Windows Server 2003」に関しては、プログラムは用意されておらず、同社では現在提供の準備を進めているという。

（Security NEXT - 2014/07/11 ）ツイート