マイクロソフト、デジノターのSSL証明書を無効化するアップデートを提供

オランダDigiNotarによって不正なSSL証明書が発行された事件に関連して、米国Microsoftは9月6日、Windows OS向けの更新プログラム配布を開始した。DigiNotarが発行したデジタル証明書を無効化する。
この事件は、DigiNotarのサービスを悪用して、攻撃者がGoogleを含む数十のWebサイトの証明書を不正に発行したというもの。偽のサーバ証明書を悪用することで、例えばアカウント情報の詐取などフィッシング詐欺が容易になる。
Microsoftでは、今回の事件を受け、SSL証明書発行元としてのDigiNotarの信頼性が失われたと判断した。配布されるパッチを適用することで、DigiNotarが発行した証明書はすべて“信頼されない発行元”の証明書として扱われ、例えばWebブラウザで偽サイトにアクセスした際に警告が表示されるようになる。

更新対象は「Windows XP」や「Windows Server 2003」も含む、すべてのサポート対象Windows。ただし、モバイルOSの「Windows Mobile」および「Windows Phone」には影響しない。通常は、Windows Updateを通じて自動的に更新される。また、ナレッジ・ベースのページにもダウンロード用の更新プログラムが用意されている。
Microsoftはすでに8月29日時点で、DigiNotarを信頼されるルート証明機関を定義した「証明書信頼リスト（CTL）」から削除していた。ただし、Windows Vista/7やWindows Server 2008は数日ごとにCTLの更新をチェックする仕組みのため、更新されるまでの間は偽のサーバ証明書に対する脆弱性が存在したことになる。また、Windows XPやWindows Server 2003では、信頼されるルート証明機関のリストを静的に保持しているため、今回のセキュリティ・パッチを適用する必要がある。

2011年 9月7日
参照computerworld

マイクロソフト

世界最大のコンピュータ・ソフトウェア会社。現在ではインターネット事業を手がけ、ハードウェア、ゲーム機器も製造している。サービスとして、コンピュータ用オペレーティングシステム（Windows）、Word、Excel、Outlookを中心としたパッケージのOffice、そのほか、サーバーソフトウェアからゲーム製品まで幅広く展開している。

マイクロソフトについて