Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

MS、不正証明書対策の更新プログラムを公開 - Firefoxも再アップデート

オランダの認証局DigiNotarにおいて、不正なSSL証明書が発行された問題で、マイクロソフトはアップデートの提供を開始した。他ブラウザベンダーも8月末のアップデートに加え、さらなる更新を実施するなど対応に追われている。

今回の問題は、DigiNotarのSSLおよびEVSSL証明書を発行する認証局インフラへ、7月に不正侵入が発生し、数百にわたる不正な証明書が発行されたもの。

同社では、問題に気がついた7月に一時証明書の無効化など対応を行ったとしているが、8月29日に「google.com」の不正な証明書がマンインザミドル攻撃に利用されたことが確認され、証明書が取り消されていなかったことが判明した。

同社の証明書は、ブラウザベンダーがルート証明書として登録していたほか、オランダ政府の証明書などについても同社が管理していたことから影響が拡大している。

問題発覚後、8月31日にマイクロソフトがセキュリティアドバイザリを公開。Windows Vista以降に影響はないとし、「Windows XP」や「Windows Server 2003」向けの更新プログラムを9月6日に提供開始した。

またMozillaでもブラウザ「Firefox 6.0.1」において、DigiNotarの証明書を無効化するアップデートを提供していたが、さらに再度アップデートを実施。

9月6日に公開した「同6.0.2」では、他認証局のクロス署名やDigiNotarが管理していたオランダ政府認証基盤の中間証明書についても無効化した。Googleにおいてもブラウザ「Google Chrome」を2度にわたりリリースし、証明書を無効化している。

オランダの政府セキュリティ機関によれば、不正に発行された証明書は「*.google.com」のほか、「*.microsoft.com」「*.mozilla.org」「*.skype.com」「login.yahoo.com」「twitter.com」「www.facebook.com」などの著名企業や組織、「www.sis.gov.uk」「www.cia.gov」といった政府機関など46種類に及んでいることが判明しており、一部は複数発行されていた。

また「Comodo Root CA」「CyberTrust Root CA」「DigiCert Root CA」「Equifax Root CA」「GlobalSign Root CA」「Thawte Root CA」「VeriSign Root CA」の証明書を20件から40件が不正取得していたという。

(Security NEXT - 2011/09/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

「AdGuard Home」に深刻な脆弱性 - 修正版が公開
ランサム被害で第三者操作の形跡、個人情報流出か - 不動産管理会社
研究室サーバに不正アクセス、学外サーバ侵害からの連鎖で - 東大
過去に実施したイベントサイトのドメインを第三者が取得 - 愛媛県
歯科衛生士転職サイトに不正ファイル - 影響などを調査
AWSアカウントに不正アクセス、スパム送信の踏み台に - つくるAI
職員アカウントがフィッシング被害、情報流出のおそれも - 日大
教員アカウントがスパム送信の踏み台に - 鹿児島県立短大
ECサイトで個人情報が表示、設定不備で - FABRIC TOKYO
システム侵害による情報流出が判明、詳細を調査 - 村田製作所

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.