2015 年 3 月 25 日、セキュリティ アドバイザリ 3050995「不適切に発行されたデジタル証明書により、なりすましが行われる」を公開しました。
(日本語サイトは現在準備中です。準備ができ次第公開いたします)
3/26 更新:日本語サイトを公開いたしました
概要
証明機関から発行されるデジタル証明書は、Web サイトが正規のサイトであることを確認するために利用されます。不適切に発行されたデジタル証明書は、なりすまし、フィッシング、または中間者攻撃に悪用される可能性があります。マイクロソフトでは、証明機関と提携し、信頼される証明書および信頼できない不正な証明書の更新を行っています。今回、デジタル証明書の悪用からお客様を保護するために、マイクロソフトは証明書信頼リスト (CTL) を更新し不正な証明書の信頼を排除する更新を行いました。
今回、不正に発行されたのは、MCS Holdings 中間証明機関が発行した証明書です。MCS Holdings は、China Internet Network Information Center (CNNIC) をルート証明機関に持つ、中間証明機関です。不正な証明書の信頼を排除するために、以下の証明書の信頼を排除する更新を行いました。
| 証明書 | 発行元 | 拇印 |
|---|---|---|
| MCSHOLDING TEST | CNNIC ROOT | e1 f3 59 1e 76 98 65 c4 e4 47 ac c3 7e af c9 e2 bf e4 c5 76 |
影響を受ける製品および回避策の展開方法など、詳細については、セキュリティ アドバイザリ 3050995を参照してください。
推奨するアクション
-
Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2 をご利用のお客様
- 証明書の自動更新ツールが既定で実装されており、自動的に保護が行われるので、措置を講じる必要はありません。
- 非インターネット環境など、自動更新ツールを利用できない環境を利用している場合は、非接続環境用の構成 (サポート技術情報 2813430) を行ってください。
-
Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 をご利用のお客様
- 証明書の自動更新ツール (サポート技術情報 2677070) を利用している場合、自動的に保護が行われるので、措置を講じる必要はありません。
- 非インターネット環境など、自動更新ツールを利用できない環境を利用している場合は、非接続環境用の構成 (サポート技術情報 2813430) を行ってください。
-
Windows Server 2003 をご利用のお客様
- 現在、更新プログラムの準備を行っております。
- 4/1 更新: Windows Server 2003 向けの更新プログラムを公開しました。サポート技術情報 3050995 を参照してください。
関連リンク
ルート証明書プログラムおよび自動更新ツールについては以下のブログも合わせて参照してください。
-
証明書更新機能の進化と Windows XP サポート終了後のリスク
-
マイクロソフトが提供する信頼できる証明書利用基盤 ~ルート証明書更新プログラムと更新ツール ~
-
セキュリティ アドバイザリ 2854544 (KB2813430) ~ ルート証明書更新プログラムの管理強化