MicrosoftがMicrosoft 365接続テスト用の重要なドメインのTLS証明書を失効させたことで、ブラウザに広くセキュリティ警告が表示される事態が発生し、Microsoft 365接続に関する証明書ライフサイクル管理の在り方に懸念の声が上がっています。
影響を受けているドメイン「connectivity.office.com」は、システム管理者や企業のITチームがMicrosoft 365サービスへのネットワークアクセスを確認する際に広く利用されているものです。月曜日より、ChromiumベースのブラウザでこのドメインにアクセスするとNET::ERR_CERT_DATE_INVALIDエラーが返されるようになりました。
問題の原因は、「Microsoft Azure RSA TLS Issuing CA 07」が発行したTLS証明書の失効です。この証明書は2026年6月14日 08:38:02 UTC に有効期限が切れました。
Microsoftのウェブサイトにセキュリティ警告が表示
証明書透明性データによると、この証明書が最後に更新されたのは2025年12月16日で、有効期間は180日間でした。
Microsoftは有効期限前に証明書を更新せず、その結果ブラウザがこのドメインを信頼できないものとして警告するようになりました。SSLインスペクションツールによる検証では、証明書のSHA-256フィンガープリントがc52ca2abaffcb192ef02ff7c131504d32b0311024c4ec7f8a439c44f17347baaであることが確認され、証明書の所有者はMicrosoft Corporationと特定されています。
ブラウザの警告には、証明書の有効期限が切れているためサーバーがその身元を証明できないと明記されており、検出の2日前に証明書が失効していたことも示されています(CSN報道)。
connectivity.office.comというエンドポイントは、企業環境において重要な運用上の役割を担っています。ファイアウォール、プロキシ、またはネットワークセキュリティアプライアンスがMicrosoft 365サービスへの接続を妨げていないかどうかを検証する目的で広く使用されています。
多くの組織がこのエンドポイントを自動ヘルスチェック、オンボーディングスクリプト、診断ワークフローに組み込んでいます。証明書が無効になったことで、このドメインへのHTTPSリクエストが証明書の検証に失敗し、自動化プロセスの中断や接続診断における誤った「問題なし」判定を引き起こす可能性があります。
今回の事態は、証明書ライフサイクル管理における防ぐことのできたセキュリティ上の手落ちを浮き彫りにするものです。Microsoftが証明書管理の改善を自ら推奨してきた経緯があることを踏まえると、この問題は特に重大といえます。
同社はつい最近、2011年に発行されたレガシーなセキュアブート証明書について、2026年6月から10月にかけて有効期限が切れる予定であるとして、企業に更新を呼びかけていたところです。
そのような状況のなかで、一般にアクセス可能なIT上重要な診断用ドメインの有効な証明書を維持できなかったことは、著しく矛盾した対応として際立っています。
セキュリティの専門家は、証明書の有効期限切れはサービス障害や信頼の喪失を招く最も防ぎやすい原因の一つであると繰り返し指摘しています。
Microsoft Azureを含む現代のインフラは、こうしたリスクを排除するための証明書の自動発行・更新メカニズムをサポートしています。今回の失効は、自動化の機能不全か、ドメインの更新ワークフローにおける設定ミスのいずれかによるものと考えられます。
本稿執筆時点において、Microsoftは今回の事態を認める公式声明や修復のスケジュールを発表していません。
しかし、このドメインが広く利用されており運用上の重要性が高いことから、速やかな証明書の更新が行われることが予想されます。
それまでの間、ネットワーク検証にconnectivity.office.comを利用している組織は、監視スクリプトを一時的に調整するか、証明書検証の警告を手動で回避する対応が必要になる場合があります。ただし、こうした回避策は新たなセキュリティ上の懸念を生じさせる点に注意が必要です。
翻訳元: https://gbhackers.com/microsoft-website-displays-security-warning/
