米Microsoftは米国時間3月22日,米VeriSignが「Microsoft Corporation」名義のディジタル証明書2枚を,Microsoft社員を偽った人物に発行したことを明らかにした。このディジタル証明書は,ActiveXコントロールやOfficeマクロをはじめとするプログラムの作成者を証明する「VeriSign Class 3 Software Publisher certificates」という証明書である。このディジタル証明書を使えば,不正なプログラムをMicrosoft製のプログラムと思わせてユーザーに実行させることが可能となる。Microsoft製品ユーザーすべてが影響を受ける。

 この証明書を受け入れないようにするパッチは現在作成中であるという。具体的な対策として,Microsoftは実行前に必ずディジタル証明書の日付を確認することを勧めている。Verisignがこの証明書を発行したのは2001年1月29日と30日。Microsoftによれば,この両日に発行された“正当な”証明書は存在しないという。証明書のシリアル番号なども参考になる。偽の証明書の詳細情報は同社サイトで公開している

 また,「Outlook 2000 SR-1 アップデート」あるいは「Outlook 98 アップデート」といったセキュリティ・パッチの適用も勧めている。パッチを適用しておけば,ディジタル署名されたプログラムといえども実行されることはない。

 VeriSignが発行したディジタル証明書を受け入れないように設定することも一時的な対策として挙げている。具体的には,Internet Explorerの「インターネットオプション」の「コンテンツ」,「証明書」メニューの「信頼されたルート証明機関」から「VeriSign Commercial Software Publishers CA」を削除する。

 Verisignでは誤って発行した証明書を無効にして,CRL *1 (Certificate Revocation List)に登録済みである。しかし,現在のWebブラウザにはこの情報を取得する仕組みはない。リリース予定のパッチには,今回問題になった証明書を含むCRL情報が含まれるという。

【3月30日追記】:マイクロソフトは3月29日,上記問題に対応するパッチを公開した。このパッチを適用すると,誤って発行された証明書が無効であることを示す「証明書失効リスト(CRL)」(ファイル名は“verisignpub1.crl”)がインストールされる。

*1 有効期限中に何らかの理由で失効したディジタル証明書をユーザーに告知するためのリスト。

[米Microsoftが公開している情報(英語)]
[米VeriSignが公開している情報(英語)]
[米CERT/CCが公開している情報(英語)]
[マイクロソフトが公開している情報]

(勝村 幸博=IT Pro編集)