ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

Googleドメイン向けの不正証明書、主要ブラウザメーカーが失効措置

» 2013年01月08日 07時29分 公開
[鈴木聖子,ITmedia]

 「*.google.com」のドメイン向けに不正な証明書が発効されていたことが分かり、主要ブラウザメーカーが問題の証明書を失効させる措置を講じている。

 米Googleのセキュリティブログに1月3日付で掲載された情報によると、Google Chromeが12月24日に不正なデジタル証明書を検出して遮断。調べたところ、問題の証明書はトルコの認証局TURKTRUSTの傘下の中間認証局(CA)が発行していたことが判明した。

 TURKTRUSTの説明によれば、2011年8月に2組織に対して通常のSSL証明書を発行すべきところを、手違いで中間CA証明書を発行していたことが分かったという。このためGoogleは12月25日から26日にかけて、問題の2件のCA証明書を遮断する措置を取り、ほかのブラウザメーカーにも通知した。1月中にChromeのアップデートを公開し、さらなる対策を講じる予定だという。

 米Microsoftも不正なデジタル証明書を使った攻撃の発生を確認したとして、1月3日にセキュリティアドバイザリーを公開し、不正な証明書を失効させる措置を取ったことを明らかにした。

 Windows XPとWindows Server 2003では、Microsoft Updateなどのサービスを使ってアップデートを適用する必要がある。一方、Vista以降のWindowsでは、2012年6月に導入された「証明書信頼リスト」(CTL)の機能によって、不正証明書の問題からユーザーを保護する措置が講じられており、ユーザー側で操作する必要はないという。

 Firefoxブラウザ開発元のMozillaは、手違いで発行された中間証明書のうち少なくとも1件が、通信に割り込む「中間者トラフィック」操作の手口に利用された恐れがあると指摘した。米国時間の1月8日に予定しているFirefoxのアップデートで、不正に発行された2件の証明書を失効させる予定としている。

関連キーワード

SSL | サーバ証明書


Copyright © ITmedia, Inc. All Rights Reserved.