PR

 オランダの認証局DigiNotarからSSL証明書が不正発行されていた問題で、米Microsoftは米国時間2011年9月6日、DigiNotarの証明書を失効させる措置の対象を拡大した。8月29日に対処した「Windows 7」「Windows Vista」に加え、「Windows XP」と「Windows Server 2003」およびすべてのWindowsアプリケーションにもサポートを広げた。

 MicrosoftはDigiNotarのすべての証明書が信用にあたらないと判断し、DigiNotarが発行した証明書を信頼リストから除外する措置をとった。これにより、Windowsユーザーは不正SSL証明書の影響から保護されるとしている。この措置は自動アップデートを介して適用される。

 今回の事件は、米GoogleのWebメールサービス「Gmail」のユーザーが、偽サイトにログインさせられそうになったことから、「google.com」の不正SSL証明書がDigiNotarから発行されていたことが判明した。DigiNotarは、ハッキング攻撃を受けてGoogleのほか、Microsoftや米中央情報局(CIA)、英秘密情報部(MI6)、米Facebook、ルクセンブルクSkype、米Twitterなどに関連したドメインの不正証明書500件以上を発行したことを認めた。DigiNotarに対する攻撃については、「Comodohacker」を名乗る者が犯行声明を出しているという(米CNET News.comの報道)。今年3月には米認証局のComodoが攻撃を受け、不正SSL証明書を発行している。

 攻撃者は不正SSL証明書を利用することで偽サイトを立ち上げ、GoogleやMicrosoft、Twitterなどのサービスに見せかけたログインページを作成して利用者にIDやパスワードの入力を促し、個人情報を盗むことができる。ブラウザーからは信頼できるWebサイトに見えるので、ユーザーが疑いを持たずに個人情報を入力する可能性が高い。上記メディアによれば、Microsoftの「Internet Explorer」、Googleの「Chrome」、米Mozillaの「Firefox」は、それぞれの最新版ですでにDigiNotarの証明書を無効にしている。

[発表資料へ]
[Microsoftのセキュリティ情報]