• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

セキュリティトレンド

不正SSL証明書が出回る、Androidをターゲットにした攻撃が増加

佐藤 信正=テクニカルライター 2011/09/06 PC Online

グーグルのSSL証明書が不正発行される----不正SSL証明書問題に注意

 米VASCOデータ・セキュリティ・インターナショナル(VASCO)は8月30日(米国時間)、オランダ子会社の大手SSL認証局であるデジノターの認証システムが7月19日に侵入され、google.comを含む多数のドメインのSSL証明書が不正発行されたと発表した

 SSL証明書はWebブラウザーで表示しているWebサイトが本物であることを証明する電子的な仕組みなので、この証明書が不正発行されれば、偽のWebサイトが本物であると自称することが可能になる。ウイルスの拡散や詐欺行為に悪用されかねない。すでに、不正発行されたgoogle.comのSSL証明書を悪用した攻撃も発生している。

 グーグルのセキュリティ・ブログも8月29日(米国時間)に攻撃を受けていることを明らかにした。攻撃によって影響を受けているのはイランのユーザーであるとも述べている。

 グーグルでは、同社のWebブラウザーであるChromeには不正証明書を検出する機能があるので、現状の利用のままでも攻撃からは守られているが、いっそうの保護のために事件の調査が終わるまでデジノターが発行した証明書は無効にするとしている。

 他の主要なブラウザーも対応を迫られた。OperaもChrome同様、現状利用のまま対処できるとしているが、8月30日(ノルウェー時間)に最新版のOpera 11.51を公開した。

 マイクロソフトも8月30日、マイクロソフト セキュリティ アドバイザリ (2607712)でデジノターの証明書を削除し、 Windows Vista、Windows 7、Windows Server 2008 および Windows Server 2008 R2については当面の対応を済ませたと発表した。ただし、Windows XPおよびWindows Server 2003向けの更新プログラムは検討中とのこと。

 Mozillaも9月2日、FirefoxおよびThunderbirdについて、デジノターの証明書を削除した。Firefoxは万全を期して最新版の6.0.1でも対応しているほか、手動での対応方法も公開している

 今回の不正SSL証明書問題だが、フィンランドのエフセキュアによると、デジノターは数年前からハッキング攻撃を受けていたらしい。SSL認証局のあり方も問われている。

ここから先はITpro会員(無料)の登録が必要です。

次ページ Androidを狙うウイルスの増加が目立つ
  • 1
  • 2

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る