Microsoft、SSL認証局問題に再び対処

[國谷武史，ITmedia]

　マレーシアのSSL認証局DigiCert Sdn. Bhdの証明書に不備が見つかった問題で、米Microsoftは11月10日（現地時間）、DigiCert Sdn. Bhdの証明書を失効させる更新プログラムをサポート対象のWindows（Windows Phone／Mobileを除く）向けにリリースした。更新プログラムはWindows Updateで入手できる。

　この問題は、米Entrust傘下の下位認証局DigiCert Sdn. Bhdが発行した証明書に、暗号強度が脆弱な512ビットのRSA鍵を使用されていたもので、同社は22件の脆弱な証明書を発行していた。

　攻撃者がこの証明書を悪用すると、不正サイトを正規サイトのようにユーザーに見せかけてフィッシングなど個人情報や金銭をだまし取る攻撃を仕掛ける恐れがある。Microsoftによれば、現時点で証明書を悪用した攻撃は確認されていない。

　Microsoftは9月、オランダのSSL認証局DigiNotarが不正なSSL証明書が発行したとして、今回と同様にDigiNotarの証明書を失効させる更新プログラムを配布した。