米Appleは米国時間2011年9月9日、不正SSL証明書の問題に対処するセキュリティアップデート「2011-005」を公開した。同社のOS「Mac OS X v10.6(Snow Leopard)」「Mac OS X Server v10.6(Snow Leopard Server)」「Mac OS X v10.7(Lion)」「Mac OS X Server v10.7(Lion Server)」を対象とする。

 同アップデートにより、オランダの認証局DigiNotarが発行した不正SSL証明書を、ルート証明書信頼リストおよびExtended Validation(EV)証明書発行機関のリストから除外する。

 DigiNotarの不正SSL証明書発行は、米GoogleのWebメールサービス「Gmail」のユーザーが、偽サイトにログインさせられそうになったことから判明した。DigiNotarは、ハッキング攻撃を受けて「google.com」の不正SSL証明書をはじめ、米Microsoftや米中央情報局(CIA)、英秘密情報部(MI6)、米Facebook、ルクセンブルクSkype、米Twitterなどに関連したドメインの不正証明書500件以上を発行したことを認めている。

 攻撃者は不正SSL証明書を利用することで偽サイトを立ち上げ、GoogleやMicrosoft、Twitterなどのサービスに見せかけたログインページを作成して利用者にIDやパスワードの入力を促し、個人情報を盗むことができる。ブラウザーからは信頼できるWebサイトに見えるので、ユーザーが疑いを持たずに個人情報を入力する可能性が高い。AppleのほかMicrosoftなども、すでに同様のアップデートをリリースしている(関連記事:DigiNotarの不正SSL証明書発行、Microsoftが無効措置をアップデート)。

[発表資料へ]