| エンタープライズ:ニュース | 2002/09/05 19:03:00 更新 |
電子証明書関連でまたもやセキュリティホール、MSが警告を公開
ほとんどのWindows OSに影響を及ぼす深刻なセキュリティホールが公開された。CriptoAPIに問題があり、電子証明書の有効性確認が適切になされないため、サイトが偽装されるなどの可能性があるという。
マイクロソフトは9月5日、ほとんどのWindowsプラットフォームで、電子証明書の有効性確認が適切になされない恐れがあると警告。一部のOS向けに、対策のためのパッチを公開した。
この「証明書確認の問題により、IDが偽装される(MS02-050)」問題は、Windows OSのほとんどと、Macintosh向けアプリケーションに影響を及ぼすものだ。具体的には
- Windows 98、Windows 98 Second Edition、Windows ME
- Windows NT 4.0、Windows NT 4.0 Terminal Server Edition、Windows 2000、Windows XP
- Microsoft Office for Macintosh
- Microsoft Internet Explorer for Macintosh
- Microsoft Outlook Express for Macintosh
が対象となる。
“IDが偽装される”というと、何のことやらよく分からないかもしれないが、この問題を悪用すると、ユーザーがアクセスしたサイトを「信頼できるサイト」に見せかけることができる。
つまり、悪意あるコードが埋め込まれており、いわゆる受動的攻撃をしかけるサイトやユーザーの個人情報を盗み取るようなサイトが、「信頼できるサイト」に成りすますことができる。SSL(暗号化)だから安心だ、などとはもう言えなくなる。その前提が崩されてしまうからだ。
さらに、別のユーザーの電子証明書を利用して、電子メールにニセの電子署名を施したり、悪意あるソフトウェアに、ニセの電子署名を付け、あたかも信頼できる正しいプログラムのように見せてダウンロードさせる、といったことも可能だろう。同社の説明によると、HTML形式の電子メール経由で攻撃を受ける可能性もあるという。
原因は、マイクロソフトのCryptoAPIが、電子証明書に含まれるオプショナルフィールドの一部をチェックせず、適切な有効性確認がなされないため。これにより、PKIの「信頼の輪」が崩されてしまう。
同社ではこの問題の深刻度を「高」としており、パッチが公開されているものについては、速やかに適用するよう推奨している。
ただし、現時点でパッチが提供されているのは「Windows NT 4.0」「Windows NT 4.0 Terminal Server Edition」「Windows XP」のみ。それ以外のパッチは、9月5日20時の時点でまだ準備中となっている。
[9月6日追記]9月6日には、Windows 98/98 SE、Windows Me用のパッチも公開された。したがってパッチが提供されるまでは、「不審なサイト、普段あまり使わないサイトにはアクセスしない」「HTML形式のメールは利用しない、開かない」ことが自衛策になるだろう。
関連記事
すべてのWindowsユーザーにデジタル証明書改ざんの危険関連リンク
MS02-050: Certificate Validation Flaw Could Enable Identity Spoofing (Q328145)MS02-050 に関する情報[ITmedia]
