ニュース

マイクロソフト、インドの認証局で不適切に発行されたSSL証明書を無効化

 日本マイクロソフト株式会社は11日、不適切に発行されたSSL証明書により、なりすましなどが行われる危険性に関するセキュリティアドバイザリ(2982792)を公開した。

 この問題は、インド国立情報工学センター(NIC)により、google.comやyahoo.comといったドメイン名に対する不適切なSSL証明書が発行されたもの。攻撃者がこれらの証明書を悪用することで、コンテンツのなりすまし、フィッシング攻撃、中間者攻撃などが行われる可能性がある。

 マイクロソフトでは、これらのSSL証明書を無効化するため、Windowsで使用される証明書信頼リスト(CTL)を更新した。CTLは多くの環境では自動的に更新されるため、ユーザー側で特に作業を行う必要はない。

 Windows 8.1/8、Windows RT 8.1/RT、Windows Server 2012 R2/2012の場合には、失効した証明書の自動更新ツールが搭載されているため、CTLは自動的に更新される。また、Windows 7/Vista、Windows Server 2008 R2/2008の場合も、失効した証明書の自動更新ツール(2677070)が重要なアップデートとして配布されており、ツールをインストールしている環境ではCTLが自動的に更新される。

 マイクロソフトでは、現時点でこの問題に関連した攻撃は確認していないという。なお、Windows Server 2003環境で利用できる更新プログラムは現時点で提供しておらず、アップデートがあり次第、セキュリティアドバイザリを更新するとしている。

(三柳 英樹)