Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS、不正SSL証明書の失効措置を実施 - 悪用でフィッシングやMITM攻撃のおそれ

米Microsoftは、インドの公的機関から不適切にSSL証明書が発行され、悪用される可能性があるとして、同証明書を失効させる更新プログラムの提供を開始した。

問題の証明書は、インドの国立情報工学センターより発行されたもの。同センターは、インド政府の認証管理局が運営するルート証明機関の下位証明機関にあたり、証明書が信頼されたルート証明機関ストアに含まれているという。

問題の証明書を悪用して証明書を発行されると、なりすまし、フィッシング、中間者(マンインザミドル)攻撃などへ悪用されるおそれがある。米Microsoftでは、証明書を悪用した攻撃は確認していないが、Windowsにおける証明書信頼リストを更新し、証明書に対して失効措置を実施した。

「Windows 8」や「Windows Server 2012」以降では、「証明書の自動更新ツール」が導入されており、インターネットへ接続していれば、更新プログラムが自動的に適用される。

「Windows Vista」や「Windows 7」「Windows Server 2008」などでは「証明書の自動更新ツール」を導入していれば、特別な作業することなく更新が反映される。未導入のシステムでは更新プログラムを適用できず、同ツールをインストールする必要がある。

また2015年7月にサポート終了を迎える「Windows Server 2003」に関しては、プログラムは用意されておらず、同社では現在提供の準備を進めているという。

(Security NEXT - 2014/07/11 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「ETCのアカウントを停止した」と不安を煽るフィッシング
就学援助費請求の内訳書や卒業生台帳が所在不明に - 横浜市
Proofpointの「Insider Threat Management」に複数脆弱性 - アップデートがリリース
コミュニケーションツール「Cisco Jabber」に深刻な脆弱性
「S/MIME」の運用管理支援サービス - 九電ビジネスソリューションズ
「OpenSSL」に重要度「高」の複数脆弱性 - アップデートが公開
市サイトで送信した画像が閲覧可能に、マイナンバーなども - 佐賀市
複数自治体で新型コロナ患者情報の誤送付が発生
「PAN-OS」に情報漏洩など複数脆弱性が判明
個人情報関連ミス、12月前後の1カ月で17件 - 大阪市