NEWS(11/11/11 14:15)
マレーシアの認証局“DigiCert”が不正なSSL証明書、MSが対策プログラムを公開
Windows Update”を通じて“重要な更新プログラム”として自動配布
米Microsoft Corporationは10日(現地時間)、EntrustおよびGTE CyberTrustの下位証明機関であるマレーシアのDigiCert Sdn. Bhdが不正なSSL証明書を発行していたことを確認したとして、当該認証局を信頼済み認証局のリストから削除する更新プログラム(KB2641690)を公開した。
同社によると、DigiCert Sdn. Bhdは脆弱な暗号キーを使用したSSL証明書を22個発行したという。最悪の場合、攻撃者がこれらの証明書を悪用して、「Internet Explorer」を含めたすべてのWebブラウザーでなりすまし、フィッシング攻撃、中間者攻撃などが行われる恐れがある。
本更新プログラムをインストールすると、以下の2つの中間証明機関によるSSL証明書がOSレベルで無効となる。現時点でこれらのSSL証明書の脆弱性を悪用した攻撃は確認されていないが、必ずインストールしておきたい。
- Entrust.net Certification Authority(2048)によって発行された、Digisign Server ID(Enrich)
- GTE CyberTrust Global Rootによって発行された、Digisign Server ID(Enrich)
なお、対象となるOSはWindows XP/Server 2003/Vista/Server 2008/7および同64bit版となっており、“Windows Update”を通じて“重要な更新プログラム”として自動配布される。ただし、自動更新を無効にしている場合は、“Windows Update”で手動で新しい更新プログラムを確認してインストールする必要がある。また、同社のサポート技術情報ページからダウンロードすることも可能。