Microsoft、“偽デジタル証明書問題”に対応するアップデートを公開 VeriSignが誤って発行した2つのデジタル証明書を無効に （01/04/05） 　米Microsoftは3月29日（現地時間）、米VeriSignが誤って発行した2つのデジタル証明書を無効にするアップデートプログラムを公開した。Windows 95/98/Me/NT 4.0/2000/XP Beta 2とInternet Explorer 5以降を組み合わせた環境で効力を発揮するアップデートプログラムで、日本語Windowsを含めた全ての言語のシステムにインストールできる。現在、MicrosoftのWebサイトから無償でダウンロード可能で、同社ではIE 5以降にアップグレードしたうえで、今回のアップデートプログラムをインストールすることを推奨している。 　この問題は、VeriSignが1月29日と30日に、Microsoftの社員を詐称する人物に、“Microsoft Corporation”のデジタル証明書2通を誤って発行してしまったというもの。この人物は、自分の作ったプログラムにこのデジタル証明書で署名して配布することが可能で、このプログラムを入手したユーザーがMicrosoftの作成したプログラムと誤解して実行してしまう危険性がある。 　誤発行に気付いたVeriSignは、インターネット上で公開している証明書失効リスト（CRL）にこの2通のデジタル証明書を追加してデジタル証明書を無効にする手続きをした。しかし、VeriSignのデジタル証明書はCRLを参照できる仕組みになっておらず、Webブラウザーなどに搭載されたデジタル署名のチェック機構は、問題のデジタル証明書を有効なものとして処理してしまうという。 　今回リリースされたアップデートプログラムは、誤発行された2通のデジタル証明書の情報が含まれたCRLをパソコンにインストールし、デジタル署名のチェック機構がこのCRLを参照してデジタル証明書の有効性を確認するように変更を加える。これにより、今回誤発行されたデジタル証明書が無効となり、このデジタル証明書で署名されたプログラムを実行しようとしたときに警告が表示されるようになる。 　Microsoftから今後リリースされる予定のWindows XP、Windows 2000 Service Pack 2、Internet Explorer 6では、今回のアップデートプログラムがはじめから適用されている。しかし、古い環境からWindows XPやWindows 2000 Service Pack 2以前に公開されたWindowsにアップグレードした場合は、再度アップデートプログラムをインストールする必要があるという。 □VeriSign 発行の誤ったデジタル証明書による、なりすましの危険性 http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-017 （新城 雅章）

トップページへ