マイクロソフトは24日、不正なデジタル証明書により、「なりすまし」が行われるおそれがあるとして、これを防ぐ更新プログラムを配布し、あわせてセキュリティアドバイザリも公開した。
マイクロソフトによると、デジタル証明書の第三者認証機関であるComodoにより発行された9個の不正なデジタル証明書を確認したという。
デジタル証明書は、ユーザーがアクセスしているサイトについて、実存のサイトであるかどうかを示す身分証明のようなもの。Webブラウザがこの証明書を検証し、有効であることを承認するという仕組みになっていることから、信頼性の根幹ともいえる。<br
したがって9個の不正な証明書を放置していると、悪意をもって設けられたサイトを正規のものと誤認させる、いわゆる「なりすまし」により、個人情報がだまし取られたり、マルウェアをインストールさせられるなどの被害を受けるおそれがある。
Comodoはすでに9個の不正な証明書を無効にしたというが、この報告を受けてマイクロソフトはユーザー保護のために、これらが「信頼されない証明書」として常に扱われるように同社製品の更新プログラムを開発したという。同種の危険な脆弱性については、Firefoxでもセキュリティアップデートが公開された。
更新プログラムは、自動更新を有効にしている場合は、自動的にダウンロードされ、インストールされる。
自動更新を有効にしていない場合は、Microsoft Updateサービスで更新プログラムを確認し、直ちに適用されたい。
なお、デフォルト設定のIEは、ユーザーがサイトにアクセスするごとに、証明書が失効していないか確認しており、IEが無効な証明書に遭遇した場合には「このWebサイトのセキュリティ証明書には問題があります」という表示が出る。危険回避のために、マイクロソフトはこの警告メッセージが表示されたら、そのページを閉じてサイトから移動するようにユーザーに呼びかけている。
(2011/03/25 ネットセキュリティニュース)
【関連URL:マイクロソフト】
・Microsoft Security Advisory (2524375)Fraudulent Digital Certificates Could Allow Spoofing[英文]
http://www.microsoft.com/technet/security/advisory/2524375.mspx
・マイクロソフト セキュリティ アドバイザリ (2524375)
http://www.microsoft.com/Japan/technet/security/advisory/2524375.mspx
【関連記事:ネットセキュリティニュース】
・モジラ、Firefox最新版でデジタル証明書ブラックリスト更新、4.0リリース(2011/03/24)