エンタープライズ:ニュース 2002/09/05 19:03:00 更新


電子証明書関連でまたもやセキュリティホール、MSが警告を公開

ほとんどのWindows OSに影響を及ぼす深刻なセキュリティホールが公開された。CriptoAPIに問題があり、電子証明書の有効性確認が適切になされないため、サイトが偽装されるなどの可能性があるという。

 マイクロソフトは9月5日、ほとんどのWindowsプラットフォームで、電子証明書の有効性確認が適切になされない恐れがあると警告。一部のOS向けに、対策のためのパッチを公開した。

 この「証明書確認の問題により、IDが偽装される(MS02-050)」問題は、Windows OSのほとんどと、Macintosh向けアプリケーションに影響を及ぼすものだ。具体的には

  • Windows 98、Windows 98 Second Edition、Windows ME
  • Windows NT 4.0、Windows NT 4.0 Terminal Server Edition、Windows 2000、Windows XP
  • Microsoft Office for Macintosh
  • Microsoft Internet Explorer for Macintosh
  • Microsoft Outlook Express for Macintosh

が対象となる。

“IDが偽装される”というと、何のことやらよく分からないかもしれないが、この問題を悪用すると、ユーザーがアクセスしたサイトを「信頼できるサイト」に見せかけることができる。

 つまり、悪意あるコードが埋め込まれており、いわゆる受動的攻撃をしかけるサイトやユーザーの個人情報を盗み取るようなサイトが、「信頼できるサイト」に成りすますことができる。SSL(暗号化)だから安心だ、などとはもう言えなくなる。その前提が崩されてしまうからだ。

 さらに、別のユーザーの電子証明書を利用して、電子メールにニセの電子署名を施したり、悪意あるソフトウェアに、ニセの電子署名を付け、あたかも信頼できる正しいプログラムのように見せてダウンロードさせる、といったことも可能だろう。同社の説明によると、HTML形式の電子メール経由で攻撃を受ける可能性もあるという。

 原因は、マイクロソフトのCryptoAPIが、電子証明書に含まれるオプショナルフィールドの一部をチェックせず、適切な有効性確認がなされないため。これにより、PKIの「信頼の輪」が崩されてしまう。

 同社ではこの問題の深刻度を「高」としており、パッチが公開されているものについては、速やかに適用するよう推奨している。

 ただし、現時点でパッチが提供されているのは「Windows NT 4.0」「Windows NT 4.0 Terminal Server Edition」「Windows XP」のみ。それ以外のパッチは、9月5日20時の時点でまだ準備中となっている。

[9月6日追記]9月6日には、Windows 98/98 SE、Windows Me用のパッチも公開された。

 したがってパッチが提供されるまでは、「不審なサイト、普段あまり使わないサイトにはアクセスしない」「HTML形式のメールは利用しない、開かない」ことが自衛策になるだろう。

関連記事
▼すべてのWindowsユーザーにデジタル証明書改ざんの危険

関連リンク
▼MS02-050: Certificate Validation Flaw Could Enable Identity Spoofing (Q328145)
▼MS02-050 に関する情報

[ITmedia]



Special

- PR -

Special

- PR -