HOME情報セキュリティ脆弱性対策情報不正な電子証明書発行に関する問題について

本文を印刷する

情報セキュリティ

不正な電子証明書発行に関する問題について

第11-32-230号

最終更新日:2011年9月15日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

オランダの DigiNotar 社をはじめとする複数の認証局(電子証明書(*1)を発行する組織)に対し攻撃が行われ、攻撃者が不正に電子証明書を入手したという問題が発生しています。

この問題により、悪意のある者が不正な電子証明書を使用して構築した不正な(罠の)ウェブサイトにアクセスした際に、利用者のブラウザ等で正当な電子証明書であると判定してしまいます。 結果として、利用者がウェブブラウザの表示を信用して不正なウェブサイトで個人情報等を入力してしまうことにより、入力した情報等が悪意のある者に盗まれてしまうという被害に繋がる可能性があります。

対策として、各ベンダが提供している修正プログラムの適用および最新版へのアップデートを行ってください。

*1 ウェブサイトの信ぴょう性を証明する「サーバ証明書」など、データやサーバ、通信の安全性を担保するもの。

対象

・Windows XP
・Windows Vista
・Windows 7
・Windows Server 2003
・Windows Server 2008
・Firefox 6.0.2 より前のバージョン
・Firefox Mobile 6.0.2 より前のバージョン
・Firefox 3.6.22 より前のバージョン
・Thunderbird 6.0.2 より前のバージョン
・Thunderbird 3.1.14 より前のバージョン
・SeaMonkey 2.3.3 より前のバージョン
・Google Chrome 13.0.782.220 より前のバージョン
・Mac OS X v10.6.8
・Mac OS X Server v10.6.8
・OS X Lion v10.7.1
・Lion Server v10.7.1
・Adobe Reader 10.1 およびそれ以前のバージョン
・Adobe Reader 9.4.5 およびそれ以前のバージョン
・Adobe Acrobat 10.1 およびそれ以前のバージョン
・Adobe Acrobat 9.4.5 およびそれ以前のバージョン

対策

1. アップデートを実施

各ベンダが提供している情報を参照して、修正プログラムの適用およびアップデートを実施してください。

2. 該当の証明書の削除を実施

  • Adobe
    - Adobe Reader/Acrobat 10.x : 該当の証明書の削除
    下記の手順を実施してください。
    (手順)
    (1) Adobe Reader/Acrobat の起動
    (2) 「編集」→「環境設定」へ移動
    (3) 「分類」欄から「信頼性管理マネージャー」を選択
    (4) 「自動更新」欄において、「Adobe のサーバから信頼済みのルート証明書を読み込む(個人情報は送信されません)」をチェックした上で「今すぐ更新」ボタンを押す

    手順に関する詳細は下記のサイトをご参照ください。
    http://blogs.adobe.com/security/2011/09/diginotar-removed-from-the-adobe-approved-trust-list.html

    - Adobe Reader/Acrobat 9.x : 該当の証明書の削除
    下記のサイトを参考に、該当の証明書を削除してください。
    http://blogs.adobe.com/security/2011/09/diginotarremovalaatl.html

参考情報

更新履歴

2011年09月15日 掲載