Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS、不正SSL証明書の失効措置を実施 - 悪用でフィッシングやMITM攻撃のおそれ

米Microsoftは、インドの公的機関から不適切にSSL証明書が発行され、悪用される可能性があるとして、同証明書を失効させる更新プログラムの提供を開始した。

問題の証明書は、インドの国立情報工学センターより発行されたもの。同センターは、インド政府の認証管理局が運営するルート証明機関の下位証明機関にあたり、証明書が信頼されたルート証明機関ストアに含まれているという。

問題の証明書を悪用して証明書を発行されると、なりすまし、フィッシング、中間者(マンインザミドル)攻撃などへ悪用されるおそれがある。米Microsoftでは、証明書を悪用した攻撃は確認していないが、Windowsにおける証明書信頼リストを更新し、証明書に対して失効措置を実施した。

「Windows 8」や「Windows Server 2012」以降では、「証明書の自動更新ツール」が導入されており、インターネットへ接続していれば、更新プログラムが自動的に適用される。

「Windows Vista」や「Windows 7」「Windows Server 2008」などでは「証明書の自動更新ツール」を導入していれば、特別な作業することなく更新が反映される。未導入のシステムでは更新プログラムを適用できず、同ツールをインストールする必要がある。

また2015年7月にサポート終了を迎える「Windows Server 2003」に関しては、プログラムは用意されておらず、同社では現在提供の準備を進めているという。

(Security NEXT - 2014/07/11 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

2回目の「特別定額給付金」で誘導するフィッシングに注意
コロナ問題に便乗、厚労省装うフィッシング - 証明書写真など詐取
Windowsドメインを乗っ取る「PetitPotam攻撃」 - PoCが公開済み
委託先が削除証明書提出済みの個人情報入り資料を誤送付 - 神奈川県
SSOサーバ「ForgeRock AM」にRCE脆弱性、すでに被害も - 「OpenAM」も注意を
新型コロナ特例貸付の申請者情報を誤送信 - スキャンデータ取り違え
Apple、「iOS 12.5.4」をリリース - 悪用報告ある脆弱性2件を修正
制御システム向けにエンドポイント対策製品 - トレンド
「ETCのアカウントを停止した」と不安を煽るフィッシング
就学援助費請求の内訳書や卒業生台帳が所在不明に - 横浜市