Microsoft は DigiCert Sdn を認識しています。 Entrust と GTE CyberTrust のマレーシアの下位証明機関 (CA) である Bhd は、弱い 512 ビット キーを持つ 22 個の証明書を発行しました。 これらの脆弱な暗号化キーを壊すと、攻撃者は証明書を不正に使用して、コンテンツのなりすまし、フィッシング攻撃、インターネット エクスプローラーのユーザーを含むすべての Web ブラウザー ユーザーに対する中間者攻撃を実行する可能性があります。 これは Microsoft 製品の脆弱性ではありませんが、この問題は、Microsoft Windows のサポートされているすべてのリリースに影響します。
DigiCert Sdn。 Bhd は、Microsoft ルート証明書プログラムのメンバーである DigiCert, Inc.と提携していません。
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Itanium ベースのシステム用 Windows Server 2003 SP2
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32 ビット システム Service Pack 2*
x64 ベースシステム Service Pack 2* 用 Windows Server 2008
Windows Server 2008 for Itanium ベースのシステム Service Pack 2
Windows 7 for 32 ビット システムおよび Windows 7 for 32 ビット システム Service Pack 1
x64 ベースシステム用の Windows 7 と x64 ベースのシステム用 Windows 7 Service Pack 1
x64 ベースシステム用 Windows Server 2008 R2 と x64 ベースシステム Service Pack 1* 用 Windows Server 2008 R2
Itanium ベースシステム用 Windows Server 2008 R2 と Itanium ベースのシステム Service Pack 1 用 Windows Server 2008 R2
*Server Core のインストールが影響を受けます。 このアドバイザリは、Server Core インストール オプションを使用してインストールされているかどうかに関係なく、示されているように、サポートされている Windows Server 2008 または Windows Server 2008 R2 のエディションに適用されます。 このインストール オプションの詳細については、TechNet の記事「Server Core のインストールの管理と Server Core インストールのサービス」を参照してください。 Server Core のインストール オプションは、Windows Server 2008 および Windows Server 2008 R2 の特定のエディションには適用されないことに注意してください。「Server Core インストール オプションの比較」を参照してください。
影響を受けるデバイス
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5
よく寄せられる質問
この勧告が 2012 年 1 月 19 日に改訂された理由Microsoft は、Windows Mobile 6.x、Windows 電話 7、および Windows 電話 7.5 デバイスの更新プログラムのリリースを発表するために、このアドバイザリを改訂しました。 詳細については、マイクロソフト サポート技術情報の記事2641690を参照してください。
なぜこの勧告は2011年11月16日に改訂されたのですか?
Microsoft は、Windows XP Professional x64 Edition Service Pack 2 およびサポートされているすべてのエディションの Windows Server 2003 のKB (キロバイト)2641690更新プログラムの再リリースを発表するために、このアドバイザリを改訂しました。 再リリースされた更新プログラムは、Windows Server Update Services (WSUS) を使用しているお客様が示した問題に対処します。この場合、更新プログラムの適用性が正しく検出されませんでした。
Windows XP Professional x64 Edition Service Pack 2 およびサポートされているすべてのエディションの Windows Server 2003 のお客様は、このアドバイザリで説明されているように、不正な証明書の使用から保護するために、再リリースされたバージョンのKB (キロバイト)2641690更新プログラムを適用する必要があります。 Windows XP Service Pack 3 およびサポートされているエディションの Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 のお客様は、この再リリースの影響を受けません。
アドバイザリの範囲は何ですか?
このアドバイザリの目的は、DigiCert Sdn を顧客に通知することです。 Bhd は、脆弱な 512 ビット キーを持つ 22 個の証明書を発行しました。 これらの弱いキーにより、証明書の一部が侵害される可能性があります。 Microsoft は、2 つの中間 CA 証明書を Microsoft 信頼されていない証明書ストアに移動する更新プログラムで、この下位 CA の信頼を取り消しました。
問題の原因は何ですか?
Microsoft は、Microsoft ルート証明書プログラムの CA である Entrust から、下位 CA の 1 つである DigiCert Sdn に通知されました。 Bhd では、弱い 512 ビット キーを持つ 22 個の証明書が発行されました。 さらに、この下位 CA は、適切な使用拡張機能や失効情報なしで証明書を発行しました。 これは、Microsoft ルート証明書プログラムの要件に 違反しています。
証明書が不正に発行されたという兆候はありません。 代わりに、暗号的に弱いキーを使用すると、証明書の一部を複製し、不正な方法で使用することができました。 Entrust と GTE CyberTrust は、DigiCert Sdn に発行された中間 CA 証明書を取り消しました。 Bhd。 Microsoft では、お客様をさらに保護するために、これら 2 つの中間証明書の信頼を取り消す更新プログラムを提供しています。
攻撃者が不正な証明書を使用する方法攻撃者は、512 ビット証明書を使用して、コンテンツのなりすまし、フィッシング攻撃、インターネット エクスプローラーのユーザーを含むすべての Web ブラウザー ユーザーに対する中間者攻撃を実行する可能性があります。
この問題の解決に役立つ Microsoft の取り組み
この問題は Microsoft 製品の問題によるものではありませんが、Entrust と GTE CyberTrust によって発行された 2 つの中間証明書を Microsoft 信頼されていない証明書ストアに移動する更新プログラムをリリースしました。 Microsoft では、お客様が更新プログラムを直ちに適用することをお勧めします。
OCSP 検証は、サポートされているエディションの Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 で、インターネット エクスプローラー 7 以降のバージョンのインターネット エクスプローラーで既定で有効になっています。 これらのオペレーティング システムでは、OCSP 検証チェックが失敗した場合、ブラウザーは CRL の場所に接続して証明書を検証します。
一部のネットワーク展開では、オンライン OCSP または CRL の更新が妨げられます。そのため、Microsoft は、Microsoft 信頼されていない証明書ストアにこれらの証明書を追加するすべてのバージョンの Microsoft Windows の更新プログラムをリリースしました。 これらの証明書を Microsoft 信頼されていない証明書ストアに移動すると、これらの不正な証明書がすべてのネットワーク展開シナリオで信頼されるわけではありません。
無効な証明書エラーが発生した操作方法はわかりますか?
インターネット エクスプローラーで無効な証明書が検出されると、"この Web サイトのセキュリティ証明書に問題があります" という Web ページが表示されます。この警告メッセージが表示されたら、ユーザーは Web ページを閉じてサイトから移動することをお勧めします。
このメッセージは、証明書が無効であると判断された場合 (たとえば、ユーザーが証明書失効リスト (CRL) またはオンライン証明書状態プロトコル (OCSP) 検証を有効にしている場合など) にのみ表示されます。 OCSP 検証は、サポートされているエディションの Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 で、インターネット エクスプローラー 7 以降のバージョンのインターネット エクスプローラーで既定で有効になっています。
Windows Mobile 6.x、Windows 電話 7、Windows 電話 7.5 デバイスの場合
Windows Mobile 6.x、Windows 電話 7、および Windows 電話 7.5 デバイスの更新プログラムについては、Microsoft サポート技術情報の記事2641690を参照してください。
その他の推奨されるアクション
PC を保護する
ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 これらの手順の詳細については、「コンピューターの保護」を参照してください。
インターネット上の安全を維持する方法の詳細については、Microsoft Security Central を参照してください。
Microsoft ソフトウェアを最新の状態に保つ
Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新を有効にして、Microsoft 製品の更新プログラムを提供するように構成している場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。
その他の情報
Microsoft Active Protections Program (MAPP)
お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトにアクセスしてください。
フィードバック
Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。
このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
As an Information Security Administrator, you plan and implement information security of sensitive data by using Microsoft Purview and related services. You’re responsible for mitigating risks by protecting data inside collaboration environments that are managed by Microsoft 365 from internal and external threats and protecting data used by AI services. You also implement information protection, data loss prevention, retention, insider risk management, and manage information security alerts and activities.