ディジタル証明書発行機関として最大手の米VeriSignは3月21日,米Microsoft名義のディジタル証明書を2通,誤って発行していたことを明らかにするセキュリティ警報を出した。破壊的なソフトウエアをMicrosoft名義でばらまくことが可能で,Windows 95以降のすべてのWindowsが被害を受ける可能性がある。
VeriSignが誤って発行したのは,「Class3 Software Publisher certificate」と呼ぶソフトウエア・ベンダー向けの証明書である。配布するソフトウエアにディジタル署名を施し,コードが改ざんされていないことを証明することができる。WebサイトでActiveXコントロールを配布する際などによく用いられている。
問題の証明書は,Microsoftの社員を名乗る人物に対し1月29日と30日にそれぞれ1通ずつ発行されたという。これらの証明書を使うと,“Microsoft Corporation”の名前でソフトウエアに署名することが可能で,Microsoftの正規の証明書で署名したものと一見,見分けが付かなくなる。悪用すれば,破壊的なプログラムをMicrosoft製のソフトウエアに見せかけて配布するといったことができる。
VeriSignでは,すでにこれらの証明書を失効リスト(CRL)に記載,公開している。しかし現行のWebブラウザにはCRLを参照する機能がなく,証明書に記載されている有効期限の2002年1月末までは実質的に有効になる。現在,MicrosoftはCRLの参照機能を組み込むためのパッチと,コンピュータ内から偽の署名が付いたコードを見つけ出すプログラムを開発中で,近いうちに公開予定だという。
このパッチを適用するまでは,ディジタル証明書に記載された情報をユーザー自身がチェックする必要がある。コードを実行する前に表示される「セキュリティの警告」画面で,署名者名(“Microsoft Corporation”)をクリックして証明書の情報を表示する。Microsoftの正規なディジタル証明書には1月29日および1月30日に発行されたものは存在しないので,発行日がこれらの日付であれば偽物と判断して良い。
