ニュース

Microsoft、インドの認証局によって誤って発行されたデジタル証明書を無効化

証明書信頼リストの自動更新ツールが導入済みであればユーザーによる手動対策は不要

 米Microsoft Corporationは10日(現地時間)、インドの国立情報センター(NIC)によって誤って発行されたデジタル証明書を無効化したことを明らかにした。

 同社が公開したセキュリティアドバイザリ(2982792)によると、これらの証明書は“google.com”や“yahoo.com”関連サイトのコンテンツへのなりすまし、フィッシング攻撃、中間者攻撃(man-in-the-middle)攻撃などに悪用される恐れがあるという。現在のところ、この問題を悪用された攻撃は確認されていないとのこと。

 Windows 8/Server 2012以降の環境であれば、標準で“CTL(証明書信頼リスト)”の自動更新ツールが実装されており、ユーザー側で対策を講じる必要はない。この自動更新ツールはWindows Vista/Server 2008/7/2008 R2向けにも提供されているので、未導入の場合はこの機会にインストールすることをお勧めする。自動更新ツールが導入されていなかったり、何らかの理由で利用できない場合は、手動で“CTL”を更新する必要がある

 なお、Windows Server 2003向けの更新プログラムは準備中で、現時点では提供されていない。

(樽井 秀人)