Microsoft、不正な証明書を失効する更新プログラムを公開

不正なSSL証明書はコンテンツ偽装やフィッシング詐欺、中間者攻撃などに悪用される恐れがある。

[鈴木聖子，ITmedia]

Microsoftのアドバイザリー

　米Microsoftは3月16日、不正に発行されたSSL証明書を失効させるための更新プログラムをサポート対象の全Windows向けに公開したことを明らかにした。

　同社のアドバイザリーによると、不正なSSL証明書は大手SSL認証局のComodoが「live.fi」のドメイン向けに発行したもので、コンテンツ偽装やフィッシング詐欺、中間者攻撃に悪用される恐れがある。一方で、他の証明書の発行やドメイン偽装、コードの署名に使うことはできないとしている。現時点でこの問題を突いた攻撃の発生は確認されていないとしている。

　問題の証明書が発行された原因は、live.fiのドメインを使った不適切な特権電子メールアカウントにあるとMicrosoftは説明する。何者かが特権ユーザー名を使ったメールアカウントを登録し、それを利用して同ドメイン向けの不正な証明書をリクエストしたという。

　Microsoftは証明書信頼リスト（CTL）の更新版をリリースして、問題のある証明書を失効させる措置を取った。自動更新を利用している場合、ユーザー側で操作を行う必要はない。一方、Windows Server 2003のユーザーや自動更新を利用していないユーザーは、直ちに更新プログラムを適用するよう促している。