なぜこのアドバイザリは 2011 年9 月 20 日に更新されたのですか?
マイクロソフトは KB2616676 の更新プログラムを再リリースしたことをお知らせするために、このアドバイザリを更新しました。この再リリースは累積的な更新プログラムで、サポート技術情報 2616676 で説明した既知の問題を解決します。このサポート技術情報で提供したオリジナルの KB2616676 の更新プログラム (サポートされているエディションの Windows XP および Windows Server 2003 のみ) は KB2607712 および KB2524375 の更新プログラムに含まれているデジタル証明書を含んでいませんでした。
サポートされているエディションの Windows XP および Windows Server 2003 をご使用のお客様は再リリース版の KB2616676 の更新プログラムを適用し、このアドバイザリで特定している不正なデジタル証明書に対する保護を行ってください。サポートされているエディションの Windows Vista、Windows 7、Windows Server 2008 および Windows Server 2008 R2 はこの更新プログラムの再リリースの影響を受けません。
注: この再リリース版のパッケージは累積的は累積的な更新プログラムであり、KB2616676、KB2607712、および KB2524375 の更新プログラムによるすべての変更を含んでいるため、これらのオリジナルの更新プログラムをすべて以前に適用している場合、サポートされているエディションの Windows XP および Windows Server 2003 をご使用のお客様には提供されません。
自動更新を有効にしている大多数のお客様には、再リリース版の KB2616676 の更新プログラムが自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。
Windows Developer Preview はこの問題の影響を受けますか?
はい。Windows Developer Preview リリース向けの更新プログラム KB2616676 が利用可能です。Windows Developer Preview をご使用のお客様は、システムにこの更新プログラムを適用することをお勧めします。この更新プログラムは Windows Update でのみ利用可能です。
なぜこのアドバイザリは 2011 年 9 月 14 日に更新されたのですか?
マイクロソフトは、この問題を解決する更新プログラム KB2616676 を公開したことをお知らせするために、このアドバイザリを更新しました。この更新プログラムは、Entrust もしくは GTE によりクロスサインされた 6 つの追加の DigiNotar ルート証明書を、マイクロソフトの信頼されていない証明書ストアに追加します。この更新プログラム KB2616676 は、以前の更新プログラム KB2607712 を置き換えます。また、以前に更新プログラム KB2607712 によりマイクロソフトの信頼されていない証明書ストアに追加された 5 つの DigiNotar ルート証明書を含みます。
新しい更新プログラム KB2616676 は、以前の更新プログラム KB2607712 を置き換えますが、以前の更新プログラム KB2607712 は新しい更新プログラム KB2616676 の前提条件ではありません。以前の更新プログラム KB2607712 が適用されているかどうかに関わらず、お客様はこのセキュリティ アドバイザリで説明している問題を解決するために、新しい更新プログラム KB2616676 を適用してください。新しい更新プログラム KB2616676 を適用したお客様は、以前の更新プログラム KB2607712 を適用する必要はありません。
なぜこのアドバイザリは 2011 年 9 月 7 日に更新されたのですか?
マイクロソフトは、この問題に対応するための更新プログラムをリリースしたことをお知らせするために、このアドバイザリを更新しました。この更新プログラムは、5 つの DigiNotar ルート証明書をマイクロソフトの信頼されていない証明書ストアに追加します。通常、大多数のお客様は自動更新を有効にしており、この更新プログラムが自動的にダウンロードおよびインストールされるため、この更新プログラムをインストールするにあたり、特別な操作は必要ありません。自動更新を有効にしていない場合、この更新プログラムを手動でインストールする方法については、サポート技術情報 2607712 を参照してください。
2011 年 8 月 30 日、マイクロソフトは 証明書信頼リストを更新して、1 つの DigiNotar ルート証明書の信頼を削除しました。マイクロソフトはなぜ更新プログラムをリリースするのですか?
Windows Vista、Windows 7、Windows Server 2008、および Windows Server 2008 R2 は、マイクロソフトの証明書信頼リストを使用して証明機関の信頼性を確認しています。Windows XP および Windows Server 2003 は、証明機関の信頼性の確認にマイクロソフトの証明書信頼リストを使用していません。そのため、お客様を保護するためにはすべてのエディションの Windows XP および Windows Server 2003 向けの更新プログラムが必要でした。
2011 年 8 月 30 日の証明書信頼リストの更新後、Windows Vista、Windows 7、Windows Server 2008、および Windows Server 2008 R2 をご使用のお客様には、信頼されていない DigiNotar ルート証明書によって署名された Web サイトにアクセスすると、証明書の信頼が確認できない旨の警告メッセージが表示されました。お客様は、この警告メッセージをクリックしてサイトにアクセスすることができました。
考えられる中間者攻撃からお客様をより包括的に保護することを目的として、マイクロソフトは、信頼されていない DigiNotar ルート証明書によって署名された証明書を含む Web サイトのリソースに、Internet Explorer ユーザーがまったくアクセスできないようにすることによって、お客様の保護をさらに強化する更新プログラムをリリースしています。この更新プログラムを適用した Internet Explorer ユーザーには、上記の DigiNotar ルート証明書のいずれかによって署名されている Web サイトにアクセスしようとすると、エラー メッセージが表示されます。この場合、ユーザーは該当する Web サイトへのアクセスを継続できません。
KB2616676 の更新プログラムはどのように問題を修正しますか?
すべてのサポートされているリリースの Microsoft Windows に対し、更新プログラム KB2616676 は 11 個の DigiNotar ルート証明書をマイクロソフトの信頼されていない証明書ストアに追加することにより、この問題を修正します。さらに、KB2616676 の更新プログラムは 2011 年 7 月 7 日にリリースした KB2524375 の更新プログラムに含まれている証明書も含んでいます。
TLS で暗号化され、信頼されていない DigiNotar ルート証明書によって署名されている Web サイトにアクセスしようとしたときのユーザー エクスペリエンスは、この更新プログラムによりどのように変わりますか?
信頼されていない DigiNotar ルート証明書によって署名されている Web サイトにアクセスしようとした Internet Explorer ユーザーにはエラー メッセージが表示されます。この証明書がマイクロソフトの信頼されていない証明書ストアに含まれているという事実に基づき、Internet Explorer はユーザーによる Web サイトへのアクセスを許可しません。該当する Web サイトには、信頼されたルート証明書によって署名された新しい証明書で Web サイトの証明書が置き換えられるまで、アクセスできません。
更新プログラムを適用した後、マイクロソフトの信頼されていない証明書ストア内の証明書をどのように確認することができますか?
証明書を表示する方法の詳細については、MSDN ライブラリの「方法: MMC スナップインを使用して証明書を参照する」を参照してください。
MMC の証明書スナップインで、次の証明書が信頼されていない証明書のフォルダーに追加されていることを確認してください。
| 証明書 | 発行者 | サムプリント | 更新プログラム* |
|---|
| DigiNotar Root CA | DigiNotar Root CA | c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c | KB2607712,
KB2616676 |
| DigiNotar Root CA G2 | DigiNotar Root CA G2 | 43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3 | KB2607712,
KB2616676 |
| DigiNotar PKIoverheid CA Overheid | Staat der Nederlanden Overheid CA | b5 33 34 5d 06 f6 45 16 40 3c 00 da 03 18 7d 3b fe f5 91 56 | KB2607712,
KB2616676 |
| DigiNotar PKIoverheid CA Organisatie - G2 | Staat der Nederlanden Organisatie CA - G2 | 5d e8 3e e8 2a c5 09 0a ea 9d 6a c4 e7 a6 e2 13 f9 46 e1 79 | KB2607712,
KB2616676 |
| DigiNotar PKIoverheid CA Overheid en Bedrijven | Staat der Nederlanden Overheid CA | 40 aa 38 73 1b d1 89 f9 cd b5 b9 dc 35 e2 13 6f 38 77 7a f4 | KB2607712,
KB2616676 |
| DigiNotar Root CA | Entrust.net Secure Server Certification Authority | 86 e8 17 c8 1a 5c a6 72 fe 00 0f 36 f8 78 c1 95 18 d6 f8 44 | KB2616676 |
| DigiNotar Root CA | Entrust.net Secure Server Certification Authority | 36 7d 4b 3b 4f cb bc 0b 76 7b 2e c0 cd b2 a3 6e ab 71 a4 eb | KB2616676 |
| DigiNotar Services 1024 CA | Entrust.net Secure Server Certification Authority | f8 a5 4e 03 aa dc 56 92 b8 50 49 6a 4c 46 30 ff ea a2 9d 83 | KB2616676 |
| DigiNotar Cyber CA | GTE CyberTrust Global Root | b8 6e 79 16 20 f7 59 f1 7b 8d 25 e3 8c a8 be 32 e7 d5 ea c2 | KB2616676 |
| DigiNotar Cyber CA | GTE CyberTrust Global Root | 2b 84 bf bb 34 ee 2e f9 49 fe 1c be 30 aa 02 64 16 eb 22 16 | KB2616676 |
| DigiNotar Cyber CA | GTE CyberTrust Global Root | 98 45 a4 31 d5 19 59 ca f2 25 32 2b 4a 4f e9 f2 23 ce 6d 15 | KB2616676 |
*これらの更新プログラムにより、信頼されていない証明書のフォルダーに追加された証明書
また、KB2616676 の更新プログラムは信頼されていない証明書フォルダーに追加された KB2524375 の更新プログラムも含んでいます。
このアドバイザリの目的は何ですか?
このアドバイザリの目的は、DigiNotar によって不正な証明書が少なくとも 1 つ発行されており、それが現在行われている攻撃に使用されていることを、マイクロソフトが確認したことをお知らせすることです。マイクロソフトは、この問題に対応する更新プログラムをすべてのサポートされているリリースの Microsoft Windows 向けにリリースしました。
暗号化とは何ですか?
暗号化とは、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号文として知られています) 間で情報を変換することにより、情報を保護する技術です。
すべての暗号化の形式で、プレーンテキスト データを暗号文に変換するために、暗号アルゴリズムと呼ばれるプロシージャと共に、キーと呼ばれる値が使用されます。最もよく知られた暗号化の種類は、秘密キーの暗号化で、暗号文が同じキーを使用してプレーンテキストに復号化されます。しかし、別の種類の暗号化である公開キーの暗号化では、暗号化テキストをプレーンテキストに復号化するために異なるキーが使用されます。
デジタル証明書とは何ですか?
公開鍵暗号 では、キーの 1 つである秘密キーと呼ばれるキーは秘密にされている必要があります。公開キーと呼ばれているもう 1 つのキーは世界で共有されることが意図されています。しかし、キーの所有者がキーが誰に属しているかを公に知らせる方法が必要になります。デジタル証明書はこれを実行する方法を提供します。デジタル証明書は改ざんができないデータの一部で、公開キーと、公開キーについての情報 (所有者情報、使用用途、有効期限、そのほかの関連情報) を含みます。
証明書が使用される目的は何ですか?
証明書は主に人物またはデバイスの身元の確認、サービスの認証、またはファイルの暗号化に使用されます。通常、証明書について何も考える必要はありません。しかし、証明書の有効期限が切れている、または無効であることを示すメッセージが表示されることがあります。このような場合、メッセージの説明に従ってください。
証明機関 (CA) とは何ですか?
証明機関とは、証明書を発行する組織のことです。証明機関は、人物またはその他の証明機関に属す公開キーの信頼性を確立し、検証します。また、証明書を要求する人物または組織の身元を確認します。
証明書信頼リスト (CTL) とは何ですか?
信頼は署名されたメッセージの受信者とメッセージの署名者の間で存在しければなりません。この信頼を確立するための一つの方法は、その機関や人物が本物かどうかを確認するための電子ドキュメントである、証明書を通して行うことです。各証明書は、両者によって信頼された第三者機関によって各機関に発行されます。そして、署名されたメッセージの各受信者は、署名者の証明書の発行元が信頼できるかどうかを決定します。CryptoAPI は、アプリケーション開発者が信頼された証明書やルートの所定のリストに対して自動的に証明書を認証するアプリケーションを作成する手法を実装しました。この信頼された機関 (いわゆる subject) のリストは、証明書信頼リスト (CTL) と呼ばれています。詳細情報は、MSDN ライブラリ Certificate Trust Verification (英語情報) をご覧ください。
この問題の原因は何ですか?
マイクロソフトは DigiNotar (信頼されたルート証明機関ストアに含まれる証明機関) により発行された少なくとも 1 つの不正なデジタル証明書を使用して現在攻撃が行われていること確認しています。不正な証明書は、Internet Explorer ユーザーを含めたすべての Web ブラウザー ユーザーに対するコンテンツのなりすまし、フィッシング攻撃の実行、または中間者攻撃に悪用される可能性があります。これは、マイクロソフト製品の脆弱性ではありませんが、すべてのサポートされているリリースの Microsoft Windows に影響を及ぼします。
攻撃者は、この脆弱性を悪用して何を行う可能性がありますか?
攻撃者はこれらの証明書を悪用し、Internet Explorer のユーザーなど、すべての Web ブラウザーのユーザーに対するコンテンツのなりすまし、フィッシング攻撃の実行または中間者攻撃を行う可能性があります。
中間者攻撃とは何ですか?
中間者攻撃は、通信中の双方のユーザーが気付くことなく、攻撃者のコンピューターを経由するように双方のユーザー間の通信が経路変更された際に発生する攻撃です。通信中の双方のユーザーは、意図した受信者とのみ通信中であると思い、気付かないまま攻撃者とトラフィックの送受信を行います。
どのような手順で証明書を失効させるのですか?
この証明書が使用された場合、証明書の承認を防ぐことができる、標準プロセスが存在します。各証明書の発行者は、定期的に証明書失効リスト (CRL) を生成します。これは無効とされるべきすべての証明書をリストしたものです。各証明書は、CRL 配布ポイント (CDP)と呼ばれるデータを提供する必要があります。このデータは、証明書失効リスト (CRL) を取得可能なロケーションを示すデータです。
Web ブラウザーがデジタル証明書の身元を確認する別の方法は、オンライン証明書状態プロトコル (OCSP) を使用することです。OCSP は、デジタル証明書に署名した証明機関 (CA) によりホストされている OCSP レスポンダーに接続することにより、証明書の対話的な確認を可能にします。すべての証明書は 機関情報アクセス (AIA) エクステンションにより OCSP レスポンダーの場所へのポインターを提供する必要があります。さらに、OCSP ステープリングにより Web サーバー自体が OCSP 検証応答をクライアントに提供することができます。
OCSP 検証は既定で、サポートされているエディションの Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2上の Internet Explorer 7 およびそれ以降のバージョンの Internet Explorer で有効となっています。これらのオペレーティング システムでは、OCSP 検証のチェックが失敗した場合、ブラウザーが CRL の場所に接続することにより、証明書を検証します。
証明書失効リスト (CRL) とは何ですか?
CRL とは、CA により発行されたデジタル署名されたリストで、その CA が発行したのち失効させた証明書のリストを含みます。失効となった個々の証明書について、証明書のシリアル番号、証明書が失効となった日付、失効の理由がリストに含まれています。アプリケーションは CRL チェックを行い、提示された証明書の失効状況を確認することができます。
CRL 配布ポイント (CDP) とは何ですか?
CDP とは、CA についての証明書失効リストを取得できる場所を示す証明書拡張です。これには、0 個、1 つ、または複数の HTTP、ファイル、または LDAP の URL が含まれていることがあります。
オンライン証明書状態プロトコル (OCSP) とは何ですか?
OCSP とは証明書の状態をリアルタイムで検証できるプロトコルです。通常、OCSP レスポンダーは CA から取得した CRL に基づいて失効の状態を応答します。
マイクロソフトはこの問題解決の手助けを行うために何をしていますか?
この問題はマイクロソフト製品に存在する問題が原因ではありませんが、マイクロソフトはこれら 9 つの不正な証明書が常に信頼されないものとして処理されるようにすることでお客様を保護する手助けとなる更新プログラムを開発しました。
無効な証明書のエラーが発生した場合、それはどのように分かるのですか?
Internet Explorer が無効な証明書に遭遇すると、ユーザーに「この Web サイトのセキュリティ証明書には問題があります。」と通知する Web ページが表示されます。この警告メッセージが表示された場合、ユーザーは Web ページを閉じ、そのサイトから移動することを推奨します。
証明書失効リスト (CRL) またはオンライン証明書状態プロトコル (OCSP) 検証が有効である場合など、証明書が無効であると確認された場合のみ、ユーザーにこのメッセージが表示されます。OCSP 検証は既定で、サポートされているエディションの Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2上の Internet Explorer 7 およびそれ以降のバージョンの Internet Explorer で有効となっています。
