本日、マイクロソフトは、DigiCert Sdn. Bhd の証明書に関する セキュリティ アドバイザリ 2641690 を公開しました。
マイクロソフトは、Entrust および GTE CyberTrust の下位の証明機関 (CA) である DigiCert Sdn. Bhd が、脆弱な 512 ビット キーを使用した 22 個の証明書を発行していることを確認しています。脆弱な暗号キーは、破損した場合に、攻撃者がこれら証明書を悪用して、Internet Explorer ユーザーを含めたすべての Web ブラウザー ユーザーに対してコンテンツのなりすまし、フィッシング攻撃の実行、または中間者攻撃を行う可能性があります。現時点では、証明書が不正に発行されたことを示す手がかりはありませんが、脆弱な暗号キーの性質上、攻撃者がこれら証明書を複製して不正な行為を行うことが可能となります。
更新プログラムのインストールについて :
これはマイクロソフト製品の脆弱性ではありませんが、マイクロソフトは影響を受けるすべてのサポートされているリリースの Microsoft Windows に対して DigiCert Sdn. Bhd への信頼を失効させる更新プログラムを提供しています。この更新プログラムは、次の 2 つの中間証明機関による証明書を失効させます。
- Entrust.net Certification Authority (2048) によって発行された、Digisign Server ID – (Enrich)
- GTE CyberTrust Global Root によって発行された、Digisign Server ID (Enrich)
この更新プログラムは「重要な更新プログラム」として、Windows Update で配布されます (WSUS や SCCM も同様)。自動更新を有効にしているお客様は、この更新プログラムが自動的にダウンロードされインストールされるため、特別な操作を行う必要はありません。自動更新を有効にしていない場合、この更新プログラムを Windows Update で手動で確認し、インストールする必要があります。また、サポート技術情報 2641690 からも手動でダウンロードできます。
注 : この更新プログラムはセキュリティ更新プログラムではないため、検出に WSUSSCN2.CAB を使用する SMS ITMU や MBSA などのツールでは、当更新プログラムは検出されません。お客様は、カスタム パッケージを作成して、この更新プログラムを展開する必要があります。
関連情報 マイクロソフト セキュリティ アドバイザリ (2607712)
http://technet.microsoft.com/ja-jp/security/advisory/2641690
サポート技術情報 2641690
http://support.microsoft.com/kb/2641690