微软“伪数码证书事件”留下的教训
日经BP社　2001-04-05 10:30:33

　　美国微软（Microsoft）于美国时间3月22日向用户发出警告有人曾经以该公司的名义误发了两件数码证书，由于病毒制作者的恶意利用，有可能诱使用户执行有害的程序。
　　
　　据微软发表的内容，有人伪装成该公司的职员向美国的Veri Sign公司申请发行假证书，并于1月30日和31日两次盗用微软公司的名义发行了两件证书。
　　
　　VeriSign公司的失误是人为造成的。该公司的职员在未进行适当的安全性确认的情况下，根据在电话中的通话内容发行了上述两件证书。
　　
　　这一“事件”很可能会留下后遗症。美国META Group的分析家Chris King就此事件发表了如下看法。
　　
　　“重要的是，这些认证经常在发布ActiveX控件及升级软件等时使用。例如，用户有可能下载看上去署上了微软公司签名的ActiveX代码及Windows软件的升级版本等从而受到损失。这甚至有可能比单纯的病毒造成更大的影响（※ITPro注：微软已经于3月29日公开了能够因应上述问题的补丁软件”）。
　　
　　同样，分析家David Cearley则对于此次“事件”留下的教训做出如下评论。
　　
　　“无论技术上如何出类拔萃，人们总是有办法使用非技术性的手段（通过物理方法访问资源、搜寻垃圾箱以及贿赂等）很容易地搞到技术。因此，企业不应该单纯地依赖技术，而需要重新检讨整个安全管理流程。为此，必须提出万无一失的战略，慎重探讨包括其执行顺序、需要引进的技术以及因应意外事态的计划等方方面面的问题。世界上没有100％安全的方案”。
　　
　　另外，此次事件也提供了一个重新审视基于对话技术的安全性方案中潜藏着问题的机会。这是因为咨询中心（Call Center）的相关部门（Agent）不适当地发行证书正是导致发生此次事件的原因之一。