Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

MS、不正証明書対策の更新プログラムを公開 - Firefoxも再アップデート

オランダの認証局DigiNotarにおいて、不正なSSL証明書が発行された問題で、マイクロソフトはアップデートの提供を開始した。他ブラウザベンダーも8月末のアップデートに加え、さらなる更新を実施するなど対応に追われている。

今回の問題は、DigiNotarのSSLおよびEVSSL証明書を発行する認証局インフラへ、7月に不正侵入が発生し、数百にわたる不正な証明書が発行されたもの。

同社では、問題に気がついた7月に一時証明書の無効化など対応を行ったとしているが、8月29日に「google.com」の不正な証明書がマンインザミドル攻撃に利用されたことが確認され、証明書が取り消されていなかったことが判明した。

同社の証明書は、ブラウザベンダーがルート証明書として登録していたほか、オランダ政府の証明書などについても同社が管理していたことから影響が拡大している。

問題発覚後、8月31日にマイクロソフトがセキュリティアドバイザリを公開。Windows Vista以降に影響はないとし、「Windows XP」や「Windows Server 2003」向けの更新プログラムを9月6日に提供開始した。

またMozillaでもブラウザ「Firefox 6.0.1」において、DigiNotarの証明書を無効化するアップデートを提供していたが、さらに再度アップデートを実施。

9月6日に公開した「同6.0.2」では、他認証局のクロス署名やDigiNotarが管理していたオランダ政府認証基盤の中間証明書についても無効化した。Googleにおいてもブラウザ「Google Chrome」を2度にわたりリリースし、証明書を無効化している。

オランダの政府セキュリティ機関によれば、不正に発行された証明書は「*.google.com」のほか、「*.microsoft.com」「*.mozilla.org」「*.skype.com」「login.yahoo.com」「twitter.com」「www.facebook.com」などの著名企業や組織、「www.sis.gov.uk」「www.cia.gov」といった政府機関など46種類に及んでいることが判明しており、一部は複数発行されていた。

また「Comodo Root CA」「CyberTrust Root CA」「DigiCert Root CA」「Equifax Root CA」「GlobalSign Root CA」「Thawte Root CA」「VeriSign Root CA」の証明書を20件から40件が不正取得していたという。

(Security NEXT - 2011/09/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

「ぐるなび」で不正ログイン - 対象会員のPWリセットを実施
登録者にフィッシングメール、メアド流出か - フォトクリエイト
国交省のコンテナ物流システムがスパムの踏み台に - 情報流出なし
楽天モバイルに行政指導 - 不正ログインで「通信の秘密」漏洩
サイトに不正プログラム、個人情報流出の可能性 - 靴通販サイト
11店舗で未処理となっていた印鑑票の紛失が判明 - 旭川信金
MDMサーバに不正アクセス、従業員情報が流出 - 三菱オートリース
サイトが閲覧不能に、個人情報流出のおそれも - 筋ジストロフィー協会
ビジネス交流会サイトに攻撃試行 - 攻撃遮断も一時閉鎖
ホビー通販サイトが改ざん被害 - 個人情報流出の可能性

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.