セキュリティ アドバイザリ

Microsoft セキュリティ アドバイザリ 2868725

公開日: 2013 年 11 月 12 日

バージョン: 1.0

Microsoft は、RC4 の既知の弱点に対処するために、サポートされているエディションの Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、および Windows RT の更新プログラムの提供を発表しています。 この更新プログラムでは、レジストリ設定を使用して、影響を受けるシステムで使用可能な暗号として RC4 を削除できます。 また、開発者は、SCHANNEL_CRED構造で SCH_U Standard Edition_STRONG_CRYPTO フラグを使用して、個々のアプリケーションの RC4 を削除することもできます。 これらのオプションは、既定では有効になっていません。

推奨。 Microsoft では、お客様が更新プログラムをすぐにダウンロードしてインストールしてから、環境で新しい設定をテストすることをお勧めします。 詳細については、 このアドバイザリの「推奨されるアクション」 セクションを参照してください。

この問題の詳細については、次のリファレンスを参照してください。

このアドバイザリでは、次のソフトウェアについて説明します。

この更新プログラムは、Windows 8.1、Windows Server 2012 R2、または Windows RT 8.1 に適用されますか?
いいえ。 これらのオペレーティング システムには RC4 の使用を制限する機能が既に含まれているため、この更新プログラムは Windows 8.1、Windows Server 2012 R2、または Windows RT 8.1 には適用されません。

アドバイザリの範囲は何ですか?
このアドバイザリの目的は、RC4 の使用を制限するための追加オプションを提供する Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、および Windows RT のサポートされているエディションで更新プログラムが利用可能であることをお客様に通知することです。 TLS と SSL で RC4 を使用すると、攻撃者は中間者攻撃を実行し、暗号化されたセッションからプレーンテキストを回復する可能性があります。

中間者攻撃とは
中間者攻撃は、攻撃者が 2 人のユーザーの情報を知らずに、攻撃者のコンピューターを介して 2 人のユーザー間の通信を再ルーティングするときに発生します。 通信の各ユーザーは、意図したユーザーとだけ通信していると考えながら、知らず知らずのうちに攻撃者との間でトラフィックを送受信します。

2868725 更新プログラムは何を行いますか?
この更新プログラムでは、レジストリ設定を使用して、影響を受けるシステムで使用可能な暗号として RC4 を削除できます。 また、開発者は、SCHANNEL_CRED構造で SCH_U Standard Edition_STRONG_CRYPTO フラグを使用して、個々のアプリケーションの RC4 を削除することもできます。 これらのオプションは、既定では有効になっていません。 お客様は、環境に RC4 を実装する前に、RC4 を無効にするための新しい設定をテストすることをお勧めします。

この更新プログラムは、インターネット エクスプローラーまたはその他のインボックス アプリケーションのユーザー エクスペリエンスに影響しますか?
いいえ。 更新プログラムで実装された変更はユーザーに対して透過的であり、インターネット エクスプローラーやその他のインボックス アプリケーションのユーザー エクスペリエンスには影響しません。 ただし、RC4 を無効にするためのその後の設定の変更が、インターネット エクスプローラーまたは TLS を利用する他のアプリケーションのユーザー エクスペリエンスに影響する可能性があります。 このため、RC4 の無効化に関連する新しい設定を十分にテストすることを強くお勧めします。

このリリース操作方法準備しますか?
この更新プログラムを 展開する準備として実行するアクション の一覧については、このアドバイザリの「推奨されるアクション」セクションを参照してください。

Schannel とは
セキュリティ チャネル (Schannel とも呼ばれます) は、セキュリティ サポート プロバイダー (SSP) であり、ID 認証と暗号化によるセキュリティで保護されたプライベート通信を提供する一連のセキュリティ プロトコルが含まれています。 Schannel は主に、セキュリティで保護されたハイパーテキスト転送プロトコル (HTTP) 通信を必要とするインターネット アプリケーションに使用されます。 詳細については、「セキュリティで保護されたチャネル」を参照してください。

TLS とは
トランスポート層セキュリティ (TLS) は、インターネットまたはイントラネット上でセキュリティで保護された Web 通信を提供するために使用される標準プロトコルです。 これにより、クライアントはサーバーを認証したり、必要に応じてサーバーを認証したりできます。 また、通信を暗号化することで、セキュリティで保護されたチャネルを提供します。 TLS は、Secure Sockets Layer (SSL) プロトコルの最新バージョンです。

RC4 とは
RC4 は、暗号化と復号化の両方で使用されるストリーム暗号です。

影響を受ける Microsoft Windows リリースの更新プログラムを適用する

ほとんどのお客様は自動更新を有効にしており、2868725更新プログラムが自動的にダウンロードおよびインストールされるため、何もする必要はありません。 自動更新を有効にしていないお客様は、更新プログラムをチェックし、この更新プログラムを手動でインストールする必要があります。 自動更新の特定の構成オプションについては、マイクロソフト サポート技術情報の記事294871を参照してください。

管理者と企業のインストール、または2868725更新プログラムを手動でインストールするエンド ユーザーの場合は、更新管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックして、更新プログラムを直ちに適用することをお勧めします。 更新プログラムを手動で適用する方法の詳細については、マイクロソフト サポート技術情報の記事2868725を参照してください。

新しい設定を環境に実装する前に十分にテストする

更新プログラムを適用した後、お客様は、環境に RC4 を実装する前に、RC4 を無効にするための新しい設定をテストすることをお勧めします。 新しい設定をテストしないと、インターネット エクスプローラーまたは TLS を利用する他のアプリケーションのユーザー エクスペリエンスに影響する可能性があります。

• Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。

• 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください。
• 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
• Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

• V1.0 (2013 年 11 月 12 日): アドバイザリが公開されました。

ビルド日: 2014-04-18T13:49:36Z-07:00