Microsoft、不正な証明書失効の更新プログラムをWindows XP向けにも提供

不正なデジタル証明書を失効させるための更新プログラムをWindows XPとWindows Server 2003向けにもリリースした。

[鈴木聖子，ITmedia]

　フランスの認証局が不正なデジタル証明書を発行していた問題で、米MicrosoftはWindows XPとWindows Server 2003向けにも問題の証明書を失効させるための更新プログラムの提供を開始した。

　この問題ではフランスの政府系認証局ANSSI傘下の中間認証局が、「google.com」「.google.co.jp」などGoogle傘下のドメイン用に不正な証明書を発行していたことが判明した。こうした証明書は、なりすましやフィッシング詐欺、中間者攻撃などに利用される恐れがある。

　Microsoftは、Googleからの通報を受けて12月9日にセキュリティアドバイザリを公開した。Windowsが使っている証明書信頼リスト（CTL）を更新して問題の証明書を失効させる措置を取り、Windows Vista以降のWindowsについては自動更新を通じて更新プログラムを配信していた。ただ、この時点ではWindows XPとWindows Server 2003向けの更新プログラムは提供していなかった。

　その後、12月12日付けでセキュリティアドバイザリを改訂し、Windows XPとWindows Server 2003向けにも更新プログラムの提供を開始。更新プログラム管理ソフトウェアかMicrosoft Updateサービスの利用、または手動でのダウンロードによって、直ちに適用するよう呼び掛けている。この更新プログラムは、Vista以降のWindowsで証明書の自動更新ツールをインストールしていないユーザーも利用できる。