SSL認証局がGoogleなどの偽証明書を発行、ブラウザーベンダーが対策を公開


 SSL認証局の米Comodoは23日、GoogleやYahoo!、Microsoft、Skype、Mozillaなど9つのサイトのSSL証明書が不正に取得されたことを公表した。Comodoではこれらの証明書を失効させており、MicrosoftやMozillaがセキュリティアドバイザリやアップデートを公表した。

 Comodoによると、イランのISPに割り当てられたIPアドレスを発信元とする攻撃により、担当者のアカウントが盗まれ、証明書が不正に発行されたという。発行された証明書は、「login.live.com」「mail.google.com」「www.google.com」「login.yahoo.com」「login.skype.com」「addons.mozilla.org」「Global Trustee」の各ドメインに対するもので、これらが悪用された場合、サイトのなりすましやフィッシング攻撃、中間者攻撃に悪用される危険がある。Comodoでは、ただちにこれらの不正に取得された証明書を失効させた。

 Microsoftでは、この問題に対する更新プログラム(2524375)を公開。更新プログラムは自動更新を有効にしている場合には自動的にインストールされる。Microsoftでは、Comodoにより既に不正な証明書は失効となっているが、ネットワーク環境によっては失効処理が正常に動作しない可能性があるとして、更新プログラムの適用を推奨している。

 また、Mozillaでも、この問題に対応したFirefoxの新バージョンを公開。23日に公開した最新バージョンの「Firefox 4」のほか、旧バージョンについても「Firefox 3.6.16」「Firefox 3.5.18」を公開している。


関連情報

(三柳 英樹)

2011/3/24 13:38