セキュリティ速報 2013/12/10

概要

【事象の概要】
Googleドメイン（「google.com」「.google.co.jp」など）の不正なデジタル証明書が発行された。

【影響対象】
OS全般・WEBブラウザー全般
特にWindows XP / 2003 で Internet Explorerを使用している環境
（現時点では対策が提供されていないため）

【影響内容】
GoogleのWEBサイトになりすます偽WEBサイトに接続しても気付かない可能性がある。
騙されて偽WEBサイトであることに気付かずにユーザーIDや、パスワードを入力した場合、悪意のある第三者にアカウントや個人情報を盗まれる可能性がある。

【対策】
Windows XP / 2003上でInternet Explorerを使用している人は、一時的にMozilla Firefox、Google Chrome等に使用するブラウザを変更する。

それ以外の環境の場合も、ブラウザを最新版にアップデートする。アップデートを適用するまではGoogleのサイトでパスワードや個人情報を入力しない。

解説

Googleドメイン（「google.com」「.google.co.jp」など）の不正な証明書が発行されるという事象が発生したようです。

証明書とは、そのサイトが本物であることを第三者の証明機関が証明する物です。正当性が確認されたWEBサイトでは、ブラウザのアドレスバーが緑色になるか、ブラウザのステータスバーに鍵のマークが表示されます。

信頼された証明機関から偽の証明書が発行されてしまうと、偽の証明書を使用したなりすましの偽WEBサイトでも、正当なWEBサイトと同じように表示されてしまいます。その結果、利用者は偽のWEBサイトであることに気付くことができません。ですので、偽の証明書を無効化する必要があります。

Windows Vista以降では、Windows Updateを通じて、偽の証明書を無効化する更新が配信されます。また、Internet Explorer以外の各社ブラウザでも同様のアップデートが提供されます。一方、現在の所、Windows XP / 2003向けにはマイクロソフトからアップデートが提供される予定はないとのことです。

至急ブラウザ及びOSのアップデートを確認して下さい。


参考:
Googleドメイン用の不正証明書が発行される、各社が失効措置へ - ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1312/10/news036.html

マイクロソフト セキュリティ アドバイザリ (2916652): 不適切に発行されたデジタル証明書により、なりすましが行われる
http://technet.microsoft.com/ja-jp/security/advisory/2916652

蛇足

ちなみに、XPサポート期限切れをテーマにしたアニメを制作中です。予告編はこちら！

免責事項

本記事の記載内容について、OPAP-JPは一切保証しないものとします。また、本サイトの記載情報の使用あるいは信頼性に関連して生じる直接的、間接的、派生的な損失または損害に関して、本サイトの著者も発行者も一切責任を負わないものとします。