Microsoftが証明書信頼リストを更新、不正な証明書使った攻撃の恐れ

Google傘下のドメインのほか、米Yahoo!傘下のドメイン用の不正証明書も発行されていた。インドの当局は、認証局の証明書発行プロセスが破られたと説明しているという。

[鈴木聖子，ITmedia]

Microsoftの告知

　米Microsoftの認定するインド政府傘下の認証局から不正な証明書が発行されていた問題で、Microsoftは7月10日、証明書信頼リスト（CTL）の更新版をWindow向けに公開し、問題の証明書を失効させる措置を取ったと発表した。

　証明書を悪用された場合、コンテンツの偽装やフィッシング詐欺、通信に割り込む中間者攻撃などに利用される恐れがあるとして注意を呼び掛けている。

　この問題ではGoogleが8日、同社傘下のWebサイト用の不正なデジタル証明書が見つかったと発表。GoogleやMicrosoftによると、問題のSSL証明書は、インド政府のルート認証局の下で中間認証局を運営するNational Informatics Centre（NIC）が発行していたもので、Microsoftのルート証明書プログラムで信頼できる証明書として扱われていた。

　Microsoftは問題の証明書を失効させるため、証明書信頼リスト（CTL）の更新版をサポート対象のWindows（Windows Server 2003を除く）向けに公開した。自動更新を有効にしている場合はユーザー側での操作は不要。現時点でこの問題に絡んだ攻撃の発生は確認されていないという。

　インドの当局はGoogleに対し、8日に行った調査の結果、NICの証明書発行プロセスが破られ、Googleドメイン用の3件と、Yahoo!ドメイン用の1件の計4件の証明書が不正に発行されていたことが分かったと説明しているという。

　しかしGoogleは、この4件以外にも不正な証明書は見つかっていると指摘する。Microsoftが攻撃の標的になり得るドメインとしてアドバイザリーに記載した一覧には、「google.com」「mail.google.com」「gmail.com」などGoogle傘下の多数のドメインのほか、「login.yahoo.com」「mail.yahoo.com」など米Yahoo!傘下のドメインも多数含まれる。現時点では確認されていないものの、他サイト用の不正証明書も発行されていた可能性があるとしている。