フランスの政府系認証局傘下の証明機関から不適切な証明書が発行を確認、なりすましが行われる可能性(マイクロソフト)

　マイクロソフトは12月10日、「マイクロソフトセキュリティアドバイザリ（2916652）」を公開した。不適切に発行されたデジタル証明書により、なりすましが行われる可能性があるとして、注意喚起する内容となっている。

脆弱性と脅威脅威動向

2013.12.12 Thu 21:00

　マイクロソフトは12月10日、「マイクロソフトセキュリティアドバイザリ（2916652）」を公開した。不適切に発行されたデジタル証明書により、なりすましが行われる可能性があるとして、注意喚起する内容となっている。

　それによると、フランスの政府系認証局（ANSSI）傘下の証明機関（CA）である国庫・経済政策総局（DG Tresor）から、不適切な証明書が発行されたという。この証明書を悪用することで、コンテンツのなりすまし、フィッシング攻撃の実行、または中間者攻撃を実行できる。なおマイクロソフトは現在、この問題に関連した攻撃を確認していないとしている。

　この問題は、すべてのサポートされているリリースのMicrosoft Windowsに影響を及ぼすものだ。マイクロソフトは、サポートされているすべてのリリースのMicrosoft Windowsに使用される証明書信頼リスト（CTL）を更新した。これにより、この証明書の信頼性は失われるとのこと。

　Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2には自動更新ツールが搭載されており、自動的に保護される。Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2を実行しており、失効した証明書の自動更新ツールを使用しているシステムも自動的に保護される。Windows XPまたはWindows Server 2003用の更新プログラムは用意されていないため、失効した証明書の自動更新ツールのインストールを行う必要がある。

不適切なデジタル証明書で、なりすましの可能性……マイクロソフトが注意喚起

《冨岡晶@RBB TODAY》