Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS、不正SSL証明書の失効措置を実施 - 悪用でフィッシングやMITM攻撃のおそれ

米Microsoftは、インドの公的機関から不適切にSSL証明書が発行され、悪用される可能性があるとして、同証明書を失効させる更新プログラムの提供を開始した。

問題の証明書は、インドの国立情報工学センターより発行されたもの。同センターは、インド政府の認証管理局が運営するルート証明機関の下位証明機関にあたり、証明書が信頼されたルート証明機関ストアに含まれているという。

問題の証明書を悪用して証明書を発行されると、なりすまし、フィッシング、中間者(マンインザミドル)攻撃などへ悪用されるおそれがある。米Microsoftでは、証明書を悪用した攻撃は確認していないが、Windowsにおける証明書信頼リストを更新し、証明書に対して失効措置を実施した。

「Windows 8」や「Windows Server 2012」以降では、「証明書の自動更新ツール」が導入されており、インターネットへ接続していれば、更新プログラムが自動的に適用される。

「Windows Vista」や「Windows 7」「Windows Server 2008」などでは「証明書の自動更新ツール」を導入していれば、特別な作業することなく更新が反映される。未導入のシステムでは更新プログラムを適用できず、同ツールをインストールする必要がある。

また2015年7月にサポート終了を迎える「Windows Server 2003」に関しては、プログラムは用意されておらず、同社では現在提供の準備を進めているという。

(Security NEXT - 2014/07/11 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

バイト情報サイトから登録者情報が流出 - 転得したとの人物から連絡も
Check Point機器の脆弱性、当初発表よりも影響大 - 国内で多数機器が稼働
ワクチン接種会場の医療従事者情報が流出、外部サービス経由で - 茨城県
TP-Linkの監視カメラやネットワーク設定用アプリに脆弱性
個人情報含む添付書類を紛失 - 瑞浪市消防本部
「Dropbox Sign」の侵害、登録セキスペ向け演習の受講者にも影響
介護保険の高額合算療養費申請書約2500件を紛失 - 横浜市
不妊対策助成事業の一部申請書が所在不明に - 東京都
MS、3月の月例更新で「Exchange Server」に生じた不具合に対応
iOS向けLINEアプリの「金融系モジュール」に脆弱性 - アップデートで修正済み