Googleドメイン用の不正証明書が発行される、各社が失効措置へ

「google.com」「.google.co.jp」などのドメイン用の不正証明書が発行されていたことが分かり、Google、Microsoft、Mozillaが対応を表明した。

　米Googleは12月7日、同社傘下の複数のドメイン用に不正なデジタル証明書が発行されていたことが分かり、問題の証明書を失効させるなどの措置を講じたことを明らかにした。Googleから連絡を受けたMicrosoftやMozillaも対応を表明した。

　Googleによると、不正な証明書は12月3日に発見され、調べたところ、フランスの政府系認証局ANSSI傘下の中間認証局で発行されていたことが分かった。

　電子証明書は、ユーザーがアクセスしているWebサイトが本物であることを確認するために使われる。不正な証明書を利用すれば、偽サイトであってもWebブラウザの警告が表示されず、ユーザーがだまされて個人情報などを入力してしまったり、攻撃者が通信に割り込む中間者攻撃を仕掛けられたりする恐れがある。

　不正な証明書が発行されたドメインには、「google.com」や「youtube.com」のほか、「.google.co.jp」なども含まれる。

　GoogleはChromeブラウザで問題の証明書を失効させ、この証明書を発行した中間認証局を遮断する措置を講じた。

　Microsoftも12月9日付でセキュリティ情報を公開し、問題の証明書を失効させる措置を取ると表明した。Windows Vista以降のWindowsでは、自動更新を有効にしていればアップデートが自動的に適用されるため、ユーザー側での操作は不要。一方、Windows XPとWindows Server 2003向けのアップデートは現時点で提供していない。

　Mozillaも12月10日にリリース予定のFirefox最新版に、問題の証明書を失効させるための措置を盛り込むと表明した。