Windows XP以降/Android 4.0以降でTURKTRUST認証局を無効にする方法

トルコの認証局であるTURKTRUSTがgoogle.comドメインの不正な証明書を発行したために、なりすましやフィッシング、中間者攻撃に利用された恐れがあることが明らかになりました。

• Enhancing digital certificate security - Google Online Security Blog
• マイクロソフト セキュリティ アドバイザリ (2798897): 不正なデジタル証明書により、なりすましが行われる

Android 4.0以降ではユーザーが証明書を無効に出来るため、個別に対応することが可能です。

設定→セキュリティ→信頼できる認証情報と進む

TURKTRUST Elektronik Sertifika Hizmet Saglayicisiniにかかる証明書を2つ無効化する

タップすると証明書の詳細が出るので、”無効”にすればチェックが外れます

ちなみに、他のOSについての簡単な対応状況は以下のようになっています。

• Windows Vista以降
  Windows Updateにより対策済み
• Windows XP
  Windows Update or 2798897更新プログラムを手動で適用。また、IE以外のブラウザユーザーは各ブラウザの対策版アップデートを適用する必要あり
• Android 4.x以外のAndroid端末
  現状対策無し
• iOS
  現状対策無し

※iOS・Android 4.0未満であっても、対策済みFirefox・Opera等を利用することで回避可能です。



Windows Vista/7では証明書信頼リスト自動更新機能により自動で対策されます。

• Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 の失効した証明書の自動更新ツールについて
• Download: Windows Vista, Windows 7, Server 2008, Server 2008 R2 (KB2798897) 用更新プログラム - Microsoft Download Center

既に対策されているか確認するには、インターネットオプション→コンテンツ→証明書→
信頼されない発行元を確認すればOKです

*.EGO.GOV.TR，*.google.com，e-islem.kktcmerkezbankasi.orgの3つがあればOK


まだリストに追加されていない場合は手動でKB2798897を入れちゃいましょう。


Googleがこの問題を検出したのが2012年12月24日ですので、ひょっとしたら昨年末のアカウント流出はこれが原因なのかもしれないですね･･･