グーグルや米ヤフーの偽ドメイン問題、マイクロソフトが対策を発表

Larry Seltzer (Special to ZDNET.com) 翻訳校正: 編集部

2014-07-11 13:06

 Microsoftは「Improperly Issued Digital Certificates Could Allow Spoofing」(不正に発行されたデジタル証明書によって、なりすましが可能になるおそれがある)と題されたセキュリティアドバイザリを公開し、インドの政府当局が運営するNational Informatics Centre(NIC)の認証局(CA)経由で発行された偽ドメインへの対策を発表した。

 米ZDNetは米国時間7月9日付けの記事で、Googleがとった偽ドメインへの対応について報じていた。理由はまだ説明されていないものの、Googleに属する複数のドメインのデジタル証明書がNICの認証局(CA)によって発行されたことで、その証明書を信頼するプログラム上で、なりすましや中間者(MitM)攻撃が可能になる危険性が生じていた。Googleによると同社の製品は、インド政府の認証管理局(CCA)を証明書信頼リストに加えていないという(なお、この認証管理局の下で、NICが下位の認証局を運営している)。ただしGoogleによると、MicrosoftのTrusted Root Store(信頼されたルートストア)にはこの認証管理局が含まれていたという。

 Microsoftのアドバイザリでは、同社のルートストアがNICの下位認証局を信頼していたことが繰り返されており、その件について一報を寄せたAdam Langley氏とGoogle Chromeセキュリティチームに感謝の意が表されている。

 また同アドバイザリには、アップデートの実施について「サポート対象となっている『Microsoft Windows』のすべてのリリースにおける証明書信頼リスト(CTL)から、この問題を引き起こしている証明書を削除した」と記されている。なお、「Windows XP」はこうしたアップデートの対象とはならないことが示唆されている点に注意してほしい。

 「Windows 8」や「Windows 8.1」「Windows RT」「Windows RT 8.1」「Windows Server 2012」「Windows Server 2012 R2」「Windows Phone 8」「Windows Phone 8.1」の稼働するシステムやデバイスについては自動アップデータが搭載されているため、今回の変更は自動的に適用される。「Windows Vista」や「Windows 7」「Windows Server 2008」「Windows Server 2008 R2」のユーザーに対しては、同様の変更を適用する自動アップデータが2013年に提供されている。

 アップデータをまだインストールしていないユーザーは、同アドバイザリの指示に従う必要がある。

 同アドバイザリには、不正発行されたドメインのリストが掲載されている。Googleのドメインはgoogle.comやm.gmail.com、gstatic.comなど17個が挙げられている。一方、米Yahooのドメインはmail.yahoo.comやprofile.yahoo.com、me.yahoo.comなど27個が挙げられている。また、クラウドのPaaSであるstatic.comも挙げられている(なお、Googleのドメインにはgstatic.comで終わるものがあるため、static.comは何らかの間違いによるものである可能性もある)。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  2. セキュリティ

    サイバー攻撃の“大規模感染”、調査でみえた2024年の脅威動向と課題解決策

  3. セキュリティ

    従業員のセキュリティ教育の成功に役立つ「従業員教育ToDoリスト」10ステップ

  4. セキュリティ

    IoTデバイスや重要インフラを標的としたサイバー攻撃が増加、2023年下半期グローバル脅威レポート

  5. セキュリティ

    急増する工場システムへのサイバー攻撃、現場の課題を解消し実効性あるOTセキュリティを実現するには

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]