不正なデジタル証明書に関する新規アドバイザリ 2607712 を公開

[2011/09/20 追記] マイクロソフトは、すべてのサポートされているリリースの Microsoft Windows に対して、DigiNotar
の 11 個のデジタル証明書をマイクロソフトの信頼されていない証明書ストアに配置する更新プログラム
(KB2616676) を公開しています。詳細は、アドバイザリ 2607712 をご覧ください。

[2011/09/05 追記]

先日 DigiNotar 社によって不正な証明書が発行されたことによる影響範囲を引き続き調査したところ、更に*.microsoft.com および *.windowsupdate.com に対する不正な証明書が発行されたことを確認しました。既に、windowsupdate.com のドメインは使用されていないため、いずれのオペレーティングシステムをお使いのお客様も、悪用される危険性はありません。

＜ Windows Vista 以降のオペレーティングシステムをお使いのお客様＞

DigiNotar 社の不正なデジタル証明書は、マイクロソフトの証明書信頼リストから既に自動的に削除され、保護されているため、特に対応を講じる必要はありません。

＜ Windows XP および Windows Server 2003 のオペレーティングシステムをお使いのお客様＞

マイクロソフトは、Windows XP および Windows Server 2003 用の対策を検討中です。更新情報がご利用可能になり次第、セキュリティアドバイザリおよび本ブログでも随時お伝えします。

今後 Windows XP および Windows Server 2003 用の更新プログラムがご利用可能になった際、自動的に受信できるよう、自動更新を有効にして、マイクロソフトのソフトウェアを常に最新に保つように設定しておいてください。

Windows XP および Windows Server 2003 の対策がご利用可能になるまでの間で、システムおよびネットワークを保護するには、以下の方法で保護することが可能です。なお、適切に保護するためには、以下の 1、2 両方の対策を実施する必要があります。

1. 信頼されたルート証明機関から DigiNotar ルート証明書を手動で削除する

• 企業のお客様に関しては、「信頼されたルート証明機関をグループ ポリシー オブジェクトから削除する」をご参照ください。また、Protecting yourself from attacks that
  leverage fraudulent DigiNotar digital certificates (英語情報) の「Step 1: Remove the DigiNotar Root from the trusted root CA store」も併せてご覧ください。

2. キャッシュされた古い証明書信頼リスト (CTL) を削除するために、キャッシュをクリアにする

• コマンドプロンプトから “certutil -urlcache * delete” を実行、または FixIt がご利用可能です。詳細は、サポート技術情報 2328240 をご覧下さい。

[2011/09/05 追記ここまで]

本日、マイクロソフトは、不正なデジタル証明書に関する セキュリティ アドバイザリ 2607712 を公開しました。マイクロソフトは DigiNotar により発行された少なくとも 1 つの不正なデジタル証明書を確認しています。これはマイクロソフト製品の脆弱性ではありませんが、マイクロソフトはお客様を保護するためのアクションを講じます。具体的な予防策として、マイクロソフトは、マイクロソフトの証明書信頼リストから DigiNotar のルート証明書を削除しました。

ユーザーの影響度

ユーザーが Internet Explorer 等の Web ブラウザーを使って、不正な証明書を使った Google 関連サイトにアクセスすると間違って正規のサイトと誤認する可能性があります。そのため、フィッシング詐欺や中間者攻撃などの被害に遭う可能性があります。DigiNotar のルート証明書が削除された後は、DigiNotar のルート証明書によって署名された Web サイトを閲覧またはプログラムをインストールした場合、以下のような証明書のエラーが表示されます。

例) Internet Explorer 9 で表示されるエラー

必要な対策

DigiNotar 社の不正なデジタル証明書を「信頼されたルート証明機関」から削除する処理は Windows Vista 以降の OS では自動で行われます。そのため、Windows Vista 以降の OS をご利用のユーザーについては、特に作業を行う必要はありません。Windows XP および Windows Server 2003 のユーザーに関しては、現在対応を検討中です。

備考

DigiNotar の証明書は、通常の状態では存在せず、DigiNotar の証明書を使用した Web サイトにアクセスした場合やアプリケーションを実行した場合、「信頼されたルート証明機関」に追加されます。Internet
Explorer の [インターネット オプション] - [コンテンツ] タブ – [証明書] ボタンで確認できます。

参考情報

マイクロソフト セキュリティ アドバイザリ (2607712)

http://www.microsoft.com/japan/technet/security/advisory/2607712.mspx

MSRC ブログ (英語情報)

http://blogs.technet.com/b/msrc/archive/2011/08/29/microsoft-releases-security-advisory-2607712.aspx