Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

MS、不正証明書対策の更新プログラムを公開 - Firefoxも再アップデート

オランダの認証局DigiNotarにおいて、不正なSSL証明書が発行された問題で、マイクロソフトはアップデートの提供を開始した。他ブラウザベンダーも8月末のアップデートに加え、さらなる更新を実施するなど対応に追われている。

今回の問題は、DigiNotarのSSLおよびEVSSL証明書を発行する認証局インフラへ、7月に不正侵入が発生し、数百にわたる不正な証明書が発行されたもの。

同社では、問題に気がついた7月に一時証明書の無効化など対応を行ったとしているが、8月29日に「google.com」の不正な証明書がマンインザミドル攻撃に利用されたことが確認され、証明書が取り消されていなかったことが判明した。

同社の証明書は、ブラウザベンダーがルート証明書として登録していたほか、オランダ政府の証明書などについても同社が管理していたことから影響が拡大している。

問題発覚後、8月31日にマイクロソフトがセキュリティアドバイザリを公開。Windows Vista以降に影響はないとし、「Windows XP」や「Windows Server 2003」向けの更新プログラムを9月6日に提供開始した。

またMozillaでもブラウザ「Firefox 6.0.1」において、DigiNotarの証明書を無効化するアップデートを提供していたが、さらに再度アップデートを実施。

9月6日に公開した「同6.0.2」では、他認証局のクロス署名やDigiNotarが管理していたオランダ政府認証基盤の中間証明書についても無効化した。Googleにおいてもブラウザ「Google Chrome」を2度にわたりリリースし、証明書を無効化している。

オランダの政府セキュリティ機関によれば、不正に発行された証明書は「*.google.com」のほか、「*.microsoft.com」「*.mozilla.org」「*.skype.com」「login.yahoo.com」「twitter.com」「www.facebook.com」などの著名企業や組織、「www.sis.gov.uk」「www.cia.gov」といった政府機関など46種類に及んでいることが判明しており、一部は複数発行されていた。

また「Comodo Root CA」「CyberTrust Root CA」「DigiCert Root CA」「Equifax Root CA」「GlobalSign Root CA」「Thawte Root CA」「VeriSign Root CA」の証明書を20件から40件が不正取得していたという。

(Security NEXT - 2011/09/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

ネット印刷サービスにサイバー攻撃、個人情報流出か - ウイルコHD子会社
英国ブランド通販サイト、約3年間にわたりクレカ情報流出の可能性
インシデントが2割強の増加 - 「EC-CUBE」改ざん被害も複数報告
「VMware Aria Operations」や「VMware Tools」に脆弱性 - 修正版を公開
従業員アカウントが不正利用、フィッシング踏み台に - 常石G
通信機器経由でサイバー攻撃、侵害サーバに顧客情報 - 日本プラスト
Dellストレージ管理製品に認証回避の脆弱性 - アップデートで修正
業務用PCを紛失、賃借人の個人情報含む可能性 - コロンビア・ワークス
オーガニック食品の通販サイトで個人情報流出の可能性
6月の侵害は未知の手口、米子会社で別件インシデントも - 古野電気

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.