独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月4日、i-FILTER における失効したサーバ証明書の検証不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
・i-FILTER
Ver.10.45R01 およびそれ以前
Ver.9.50R10 およびそれ以前
・i-FILTER ブラウザー&クラウド MultiAgent for Windows Ver.4.93R04 およびそれ以前
※i-FILTER を利用する D-SPA (Ver.3 / Ver.4) も本脆弱性の影響を受ける。
デジタルアーツ株式会社が提供する i-FILTER には、失効したサーバ証明書の検証不備の脆弱性が存在し、中間者攻撃(man-in-the-middle attack)による暗号通信の盗聴などが行なわれる可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートを行い、アップデート後にi-FILTER の管理画面「オプション / SSL Adapter / 基本設定」から[証明書の失効状態を確認する] を有効にするよう呼びかけている。
