ニュース
Xbox Live用の秘密鍵流出、Microsoftが証明書の失効で対応
どのような経緯で流出したのかは明らかにしていない。証明書を悪用された場合、通信に割り込む中間者攻撃に利用される恐れがある。
米MicrosoftのXboxゲームサイト「Xbox Live」用の証明書の秘密鍵が手違いで流出していたことが分かった。通信に割り込む中間者攻撃に利用される恐れがあり、同社は12月8日、問題の証明書を失効させる措置を取ったことを明らかにした。
流出したのは「.xboxlive.com」用のSSL/TLS証明書の秘密鍵。どのような経緯で流出したのかは不明だが、他の証明書の発行やドメイン偽装、コード署名には利用できないとしている。現時点で攻撃の発生は確認されていないという。
この問題はWindowsの全バージョンが影響を受ける。Microsoftは悪用を防ぐために問題の証明書を失効させ、証明書信頼リスト(CTL)の更新版をサポート対象の全Windows向けに配信した。
この更新プログラムはWindows 8以降のWindowsと、Windows Phone 8/8.1およびWindows 10 Mobile向けには自動的に配信される。Windows Vistaや7でも自動更新を有効にしていればユーザー側の操作は不要だとしている。
関連記事
- Microsoft、Dellの証明書を無効化
Microsoftは証明書信頼リスト(CTL)の更新版を配信し、脆弱性が指摘されたDellの証明書を失効させる措置を取った。 - 多数メーカーの組み込み機器に同一の秘密鍵、盗聴攻撃の恐れ
影響を受ける製品はルータやIPカメラ、VOIP電話など多岐にわたる。HTTPS通信に割り込む中間者攻撃を仕掛けられて情報が流出する恐れもある。 - OpenSSLの脆弱性、影響は極めて重大――パスワードや秘密鍵の流出も
パスワードや秘密鍵といった情報が簡単に盗まれてしまうことも実証され、影響は非常に広範に及ぶ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.