どのようなことが起こる可能性がありますか?
この脆弱性により、Outlook 2002 で、電子メールの暗号化のために Version 1 の Exchange Server Security 証明書を使用する構成に設定しているユーザーが、実際には暗号化されていない電子メールを暗号化されていると思って送信してしまう可能性があります。
攻撃者によって電子メールが傍受された場合、その電子メールが暗号化で保護されているデータではなくプレーン テキストで読まれてしまう可能性があります。
デジタル証明書とは何ですか?
デジタル証明書は、公開キー暗号化 (英語情報) のよく知られた方法の 1 つです。公開キー暗号化には、公開してはいけない秘密キーと、共有することを意図している公開キーの 2 つのキーがあります。公開キーを効果的に共有し、その情報が正当なものであることを確認するには、そのキーの所有者およびキーの使用方法を知る方法が必要となります。デジタル証明書により、これを可能にする方法が提供されます。
デジタル証明書により、公開キーにその所有者、使用される目的、有効期限など、その公開キーに関する情報が結び付けられます。ユーザーがデジタル証明書を必要とする場合、証明機関 (CA) として知られる組織からデジタル証明書を取得します。CA は、証明書を作成するだけでなく、証明書にデジタル署名し、それによりその情報が保証され、チェックされないで変更されるのを防ぎます。
Version 1 の Exchange Server Security 証明書とは何ですか?
Version 1 の Exchange Server Security 証明書は、Outlook 2002 が Microsoft Exchange メール サーバーと連携して使用される際に使用可能な暗号化証明書オプションの 1 つです。このような構成では、Exchange メール サーバーは、CA のような役割を果たし、Outlook クライアントに証明書を発行します。Exchange メール サーバーが発行する証明書の 1 つの種類が、Version 1 の Exchange Server Security 証明書ですが、この構成での既定の証明書の種類は、S/MIME 証明書となります。
Version 1 の Exchange Server Security 証明書に問題がありますか?
いいえ。この問題は、証明書自体ではなく、Outlook がこの種類の証明書を処理する方法に存在します。
S/MIME に関する説明されていますが、S/MIME とは何ですか?
S/MIME は、Secure/Multipurpose Internet Mail Extensions を表します。S/MIME により、セキュリティで保護された MIME エンコード データの送受信の一貫した方法が提供されます。一般的なインターネットの MIME 標準をもとに、S/MIME は、認証、メッセージの完全性、発信者の非否認 (デジタル署名使用)、データのプライバシーおよびセキュリティ (暗号化使用) など、電子メッセージ アプリケーションに暗号化されたセキュリティ サービスを提供します。
S/MIME の記述およびデジタル証明書の情報は、マイクロソフト サポート技術情報 195724、RFC 2633 (英語情報) セクション 1、および Working with the Outlook 2000 Security Model (英語情報) の記事をお読みください。
S/MIME はこの脆弱性の影響を受けますか?
いいえ。この脆弱性が悪用される可能性があるのは、Version 1 の Exchange Server Security 証明書が暗号化に使用される場合に限定されます。
暗号化された電子メールを送受信するために Outlook が使用する証明書の種類は、どのように確認することができますか?
Outlook 2002 が暗号化のために使用する証明書の種類は、[ツール] - [オプション] - [セキュリティ] - [セキュリティ設定の変更] から確認することができます。セキュリティの設定の変更で、[保護されたメッセージの形式] が [Exchange Server Security] である場合、Outlook 2002 では、Version 1 の Exchange Server Security 証明書が使用されます。
暗号化の話が出て、証明書はデジタル証明がされた電子メールにも使用することができるとのことですが、証明書の適用はこの脆弱性の影響を受けますか?
いいえ、デジタル署名は、この脆弱性の影響を受けません。この脆弱性は、Exchange Server Security 証明書を使用する暗号化にのみ影響を及ぼします。
何が原因で起こりますか?
Outlook 2002 は、暗号化に使用される証明書として Version 1 の Exchange Server Security 証明書が選択された場合に、適切にその証明書を使用しないためにこの脆弱性が起こります。このエラーの結果、その電子メール メッセージが暗号化されなくなります。
Version 1の Exchange Server Security 証明書が使用される際の、Outlook 2002 の暗号化にどのような問題がありますか?
Outlook が電子メール メッセージの暗号化のために、Version 1 の Exchange Server Security 証明書を使用するリクエストを処理する方法に問題が存在します。この問題の結果、この証明書が適切に使用されず、メッセージは、プレーン テキストで送信されます。
この脆弱性により攻撃者は何ができますか?
攻撃者によって二者間で送受信されている電子メール メッセージが傍受された場合、それらの電子メール メッセージが暗号化されていると考えられているとしても、それらの電子メールが読み取られる可能性があります。
攻撃者は、どのようにこの脆弱性を悪用する可能性がありますか?
この脆弱性を悪用するには、攻撃者は、暗号化のための Version 1 の Exchange Server Security 証明書を使用しているユーザー間の電子メールを妨害するか、またはメール サーバーなど、それらの電子メールが保存されているインフラストラクチャへアクセスする可能性があります。それらにアクセスし、攻撃者はユーザーが暗号化により保護されていると信じている電子メールを読み取る可能性があります。
更新プログラムは何を修正しますか?
この更新プログラムは、Outlook 2002 で、暗号化のオペレーションに使用するために Version 1 の Exchange Server Security 証明書が選択された際に、それが適切に使用されるようにし、この脆弱性を排除します。
