SSL認証局が偽の証明書を発行、大手サイトに影響の恐れ - ITmedia エンタープライズ(情報元のブックマーク数)

IT セキュリティ

ComodoがGoogleMicrosoftYahoo!Skypeなどに偽の証明書を発行したとのこと。

SSL認証局のComodo Groupが偽のSSL証明書を発行し、MicrosoftGoogleYahoo!など大手各社のWebサイトが影響を受ける恐れがあることが分かった。MicrosoftMozillaはアップデートを配信し、攻撃を防止する措置を取っている。
Microsoftによると、Comodoは偽のSSL証明書を9件発行したという。影響を受けるのは、Hotmailのログインに使われている「login.live.com」のほか、Googleの「mail.google.com」「www.google.com」、Yahoo!の「login.yahoo.com」(3件の証明書が関連)、Skypeの「login.skype.com」、Firefoxアドオン用の「addons.mozilla.org」、および「Global Trustee」の各ドメインとなっている。

SSL認証局が偽の証明書を発行、大手サイトに影響の恐れ - ITmedia エンタープライズ

審査アカウントが盗まれて偽の証明書が発行されたとのこと。

Comodoによると、証明書発行の申請を審査しているComodoアフィリエートのアカウントのログイン情報が何物かに盗まれてアカウントに侵入され、偽証明書が発行されたという。攻撃に使われたIPアドレスは、イランのISPに割り当てられたものだったことが分かったとしている。

SSL認証局が偽の証明書を発行、大手サイトに影響の恐れ - ITmedia エンタープライズ

それで、MicrosoftFirefoxにアップデートがあったのか

Comodoは問題の発覚後、ただちに証明書を無効にする措置を取った。Microsoftは現時点で実際の攻撃は確認されていないとしながらも、Windowsのアップデートを配信し、9件の偽証明書をWindows上で信頼できない証明書に分類する措置を取った。
MozillaFirefox 4.0/3.6/3.5のアップデートを公開し、問題の証明書を自動的にブロックする措置を取ったことを明らかにした。
Comodoは影響を受けるドメインの所有者と大手ブラウザ各社に連絡を取ったとしており、このほかの各社も対策を講じているとみられる。

SSL認証局が偽の証明書を発行、大手サイトに影響の恐れ - ITmedia エンタープライズ

MSからのはこれですね。

本日、マイクロソフトは、不正なデジタル証明書に関する セキュリティ アドバイザリ 2524375 を公開しました。このアドバイザリは、マイクロソフトの製品の問題についてではなく、大手認証機関である Comodo 社より報告を受けた 9 つの不正なデジタル証明書が署名されたことによって、Internet Explorer のユーザーがフィッシング詐欺などの被害に遭う可能性と、Windows ユーザーがこの問題に対しどのように対処すればよいか記述しています。
既に Comodo 社は、不正なデジタル証明書が利用できなくなるよう、デジタル証明書を失効させていますが、コンピューターを利用するネットワーク環境によっては、デジタル証明書の失効処理が正常に動作しない可能性があります。そのため、デジタル証明書の失効確認が正常に動作しなくても、フィッシング詐欺などの被害に遭わないよう、更新プログラム 2524375 をインストールすることをお勧めします。なお、通常、大多数のお客様は自動更新が有効な設定になっており、この更新プログラムが自動的にダウンロードされインストールされますので、このアドバイザリに対する特別な操作は必要ありません。

不正なデジタル証明書に関する新規アドバイザリ 2524375 を公開 – 日本のセキュリティチーム

関連URL

screenshot