マイクロソフト セキュリティ アドバイザリ 2524375

不正なデジタル証明書により、なりすましが行われる

公開日: 2011年3月24日 | 最終更新日: 2011年7月7日

要訳
お知らせ内容 更新プログラムの公開
更新プログラム あり (サポート技術情報 2524375)
※ Microsoft Kin 用の更新プログラムは、現在開発中です。
被害報告 なし
推奨するアクション あり
対応方法 推奨するアクションの適用をご検討ください。

※ 上記の情報は、公開日または最終更新日の情報を基に作成しています。

概説

概要

マイクロソフトは、すべてのサポートされているリリースの Microsoft Windows、Windows Mobile 6.x、Windows Phone 7、Microsoft Kin および Zune デバイス上で、Comodo (信頼されたルート証明機関ストアに含まれる証明機関) が発行した 9 つの不正なデジタル証明書を確認しています。2011 年 3 月 16 日、マイクロソフトは Comodo から、その身元を十分に確認せずに、あるサードパーティの代わりに 9 つの証明書に署名したとの報告を受けました。これらの証明書は、Internet Explorer のユーザーなど、すべての Web ブラウザーのユーザーに対するコンテンツのなりすまし、フィッシング攻撃の実行または中間者攻撃に悪用される可能性があります。

これらの証明書は次の Web プロパティに影響します。

  • login.live.com
  • mail.google.com
  • www.google.com
  • login.yahoo.com (証明書 3 つ)
  • login.skype.com
  • addons.mozilla.org
  • "Global Trustee"

Comodo はこれらの証明書を失効させており、これらの証明書は Comodo の現在の証明書失効リスト (CRL) に表示されています。さらに、オンライン証明書状態プロトコル (OCSP) を有効にしているブラウザーは、対話的にこれらの証明書を確認し、使用されないようにブロックします。

この問題の解決を支援するための更新プログラムがすべてのサポートされているリリースの Windows、Windows Mobile 6.x デバイスおよび Zune HD デバイスに利用可能です。2011 年 5 月 4 日時点で、この更新プログラムは Windows Phone 7 をご使用のお客様への配布も開始されています。この更新プログラムに関する詳細情報は、サポート技術情報 2524375 をご覧ください。

サポートされているリリースの Microsoft Windows については、通常、大多数のお客様は自動更新を有効にしており、この更新プログラムが自動的にダウンロードおよびインストールされるため、この更新プログラムをインストールするにあたり、特別な操作は必要ありません。この更新プログラムを手動でインストールする方法や Windows Mobile 6.x 、Windows Phone 7および Zune HD デバイスにこの更新プログラムをインストールする方法などの詳細情報は、このアドバイザリの「推奨するアクション」をご覧ください。

アドバイザリの詳細

問題の参照情報

この問題の詳細については、以下の参照情報をご覧ください:

参照情報番号
マイクロソフト サポート技術情報 2524375

影響を受けるソフトウェアおよびデバイス

このアドバイザリは、次のソフトウェアおよびデバイスについて説明しています。

影響を受けるソフトウェア
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 1 および Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 および Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems および Windows Server 2008 for 32-bit Systems Service Pack 2*
Windows Server 2008 for x64-based Systems および Windows Server 2008 for x64-based Systems Service Pack 2*
Windows Server 2008 for Itanium-based Systems および Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems および Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems および Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems および Windows Server 2008 R2 for x64-based Systems Service Pack 1*
Windows Server 2008 R2 for Itanium-based Systems および Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
影響を受けるデバイス
Windows Mobile 6.x
Windows Phone 7
Microsoft Kin
Zune HD 16GB、Zune HD 32GB および Zune HD 64GB

*Server Core インストールは影響を受けます。サポートされているエディションの Windows Server 2008 または Windows Server 2008 R2 では、Server Core インストール オプションを使用してインストールされているかどうかに関わらず、この更新プログラムの深刻度は同じです。このインストール オプションに関する詳細情報は、Server Core および Windows Server 2008 R2 の Server Core をご覧ください。Server Core インストール オプションは Windows Server 2008 および Windows Server 2008 R2 の特定のエディションにのみ適用する事ができます。詳細は、Server Core インストールオプションの比較をご覧ください。

影響を受けないソフトウェア
Zune 4GB、Zune 8GB、Zune 16GB、Zune 30GB、Zune 80GB および Zune 120GB

なぜこのアドバイザリは 2011 年 7 月 7 日に更新されたのですか?
マイクロソフトは、SSL セキュリティの問題を解決する Zune HD デバイス用の更新プログラムを公開したことをお知らせするために、このアドバイザリを更新しました。この更新プログラムをインストールするためには、Zune HD をご使用のお客様はご使用のデバイスをコンピューターに接続し、Zune PC クライアントを使用して更新プロセスを完了させてください。詳細情報は、サポート技術情報 2524375 をご覧ください。

現時点では、Microsoft Kin 用の更新プログラムは利用可能ではありません。マイクロソフトは、このリリースについて高い品質を確保するためのテストを完了し次第、このデバイス用の更新プログラムを公開する予定です。

なぜ Zune 4GB、Zune 8GB、Zune 16GB、Zune 30GB、Zune 80GB および Zune 120GB は影響を受けるソフトウェアの表から削除されたのですか?
攻撃の手段の詳細な調査の結果、マイクロソフトは Web ブラウザーを備えていないこれらの Zune デバイスでこの問題が悪用される可能性は極めて低いと判断しました。そのため、Zune 4GB、Zune 8GB、Zune 16GB、Zune 30GB、Zune 80GB および Zune 120GB には更新プログラムは提供されず、「影響を受けないソフトウェア」の表へ移動しました。

なぜこのアドバイザリは 2011 年 5 月 11 日に更新されたのですか?
マイクロソフトは、Windows Mobile 6.x デバイス用の更新プログラムを公開したことをお知らせするために、このアドバイザリを更新しました。この更新プログラムは、マイクロソフト ダウンロード センターでご利用いただけます。詳細情報は、サポート技術情報 2524375 をご覧ください。

現時点では、Microsoft Kin および Zune デバイス用の更新プログラムは利用可能ではありません。マイクロソフトは、これらのリリースについて高い品質を確保するためのテストを完了し次第、これらのデバイス用の更新プログラムを公開します。

なぜこのアドバイザリは 2011 年 5 月 9 日に更新されたのですか?
マイクロソフトは、Windows Phone 7 デバイス用の更新プログラムを公開したことをお知らせするために、このアドバイザリを更新しました。公開時点では、この更新プログラムはすべての Windows Phone 7 をご使用のお客様には利用可能ではありませんが、更新プログラムが利用可能となり次第、デバイス上で通知する予定です。詳細情報を入手する、またはこの更新プログラムをインストールするためには、ご使用の Windows Phone 7 をコンピューターに接続し、Zune PC クライアントまたは Windows Phone 7 Connector (for Mac) を使用して更新プロセスを完了させてください。詳細情報は、サポート技術情報 2524375 をご覧ください。

現時点では、Windows Mobile 6.x、Microsoft Kin および Zune デバイス用の更新プログラムは利用可能ではありません。マイクロソフトは、これらのリリースについて高い品質を確保するためのテストを完了し次第、これらのデバイス用の更新プログラムを公開する予定です。

なぜこのアドバイザリは 2011 年 4 月 20 日に更新されたのですか?
マイクロソフトはこのアドバイザリを更新し、Windows Mobile 6.x、Windows Phone 7、Microsoft Kin および Zune デバイスを、「影響を受けるソフトウェアおよびデバイス」に追加しました。マイクロソフトはこれらのデバイス上のローカルの信頼されていない証明書ストアをアップデートして 9 つの不正なデジタル証明書を格納する必要があることを確認しています。

Windows Mobile 6.x、Windows Phone 7、Microsoft Kin および Zune デバイス用の更新プログラムは、現在利用できません。マイクロソフトは、これらのリリースの高い品質を確保するためのテストを完了し次第、これらのデバイス用の更新プログラムを公開します。

暗号化とは何ですか?
暗号化とは、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号文として知られています) 間で情報を変換することにより、情報を保護する技術です。

すべての暗号化の形式で、プレーンテキスト データを暗号文に変換するために、暗号アルゴリズムと呼ばれるプロシージャと共に、キーと呼ばれる値が使用されます。最もよく知られた暗号化の種類は、秘密キーの暗号化で、暗号文が同じキーを使用してプレーンテキストに復号化されます。しかし、別の種類の暗号化である公開キーの暗号化では、暗号化テキストをプレーンテキストに復号化するために異なるキーが使用されます。

デジタル証明書とは何ですか?
暗号サービス では、キーの 1 つである秘密キーと呼ばれるキーは秘密にされている必要があります。公開キーと呼ばれているもう 1 つのキーは世界で共有されることが意図されています。しかし、キーの所有者がキーが誰に属しているかを公に知らせる方法が必要になります。デジタル証明書はこれを実行する方法を提供します。デジタル証明書は改ざんができないデータの一部で、公開キーと、公開キーについての情報 (所有者情報、使用用途、有効期限、そのほかの関連情報) を含みます。

証明書が使用される目的は何ですか?
証明書は主に人物またはデバイスの身元の確認、サービスの認証、またはファイルの暗号化に使用されます。通常、証明書について何も考える必要はありません。しかし、証明書の有効期限が切れている、または無効であることを示すメッセージが表示されることがあります。このような場合、メッセージの説明に従ってください。

証明機関 (CA) とは何ですか?
証明機関とは、証明書を発行する組織のことです。証明機関は、人物またはその他の証明機関に属す公開キーの信頼性を確立し、検証します。また、証明書を要求する人物または組織の身元を確認します。

この問題は何が原因で起こりますか?
マイクロソフトは大手認証機関である Comodo から、身元を十分に確認せずに複数のデジタル証明書を発行したとの報告を受けました。これらの証明書は、サービスの身元をなりすまし、ユーザーにそのサービスを信頼させるというように、悪用される可能性があります。

注: Comodo はこれらの証明書を失効させており、これらの証明書は Comodo の現在の証明書失効リスト (CRL) に表示されています。

攻撃者は、この脆弱性を悪用して何を行う可能性がありますか ?
攻撃者はこれらの証明書を悪用し、Internet Explorer のユーザーなど、すべての Web ブラウザーのユーザーに対するコンテンツのなりすまし、フィッシング攻撃の実行または中間者攻撃を行う可能性があります。

中間者攻撃とは何ですか?
中間者攻撃は、通信中の双方のユーザーが気付くことなく、攻撃者のコンピューターを経由するように双方のユーザー間の通信が経路変更された際に発生する攻撃です。通信中の双方のユーザーは、意図した受信者とのみ通信中であると思い、気付かないまま攻撃者とトラフィックの送受信を行います。

どのような手順で証明書を失効させるのですか?
これらの証明書が使用された場合、Comodo が証明書の承認を防ぐことができる、標準プロセスが存在します。各証明書の発行者は、定期的に証明書失効リスト (CRL) を生成します。これは無効とされるべきすべての証明書をリストしたものです。各証明書は、CRL 配布ポイント (CDP) と呼ばれるデータを提供する必要があります。このデータは、証明書失効リスト (CRL) を取得可能なロケーションを示すデータです。

Web ブラウザーがデジタル証明書の身元を確認する別の方法は、オンライン証明書状態プロトコル (OCSP) を使用することです。OCSP は、デジタル証明書に署名した証明機関 (CA) によりホストされている OCSP レスポンダーに接続することにより、証明書の対話的な確認を可能にします。すべての証明書は、機関情報アクセス (AIA) エクステンションにより OCSP レスポンダーの場所へのポインターを提供する必要があります。さらに、OCSP ステープリングにより Web サーバー自体が OCSP 検証応答をクライアントに提供することができます。

OCSP 検証は既定で、サポートされているエディションの Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2上の Internet Explorer 7 およびそれ以降のバージョンの Internet Explorer で有効となっています。これらのオペレーティング システムでは、OCSP 検証のチェックが失敗した場合、ブラウザーが CRL の場所に接続することにより、証明書を検証します。

証明書の失効のチェックに関する詳細情報は TechNet コラム Certificate Revocation and Status Checking (英語情報) をご覧ください。

証明書失効リスト (CRL) とは何ですか?
CRL とは、CA により発行されたデジタル署名されたリストで、その CA が発行したのち失効させた証明書のリストを含みます。失効となった個々の証明書について、証明書のシリアル番号、証明書が失効となった日付、失効の理由がリストに含まれています。アプリケーションは CRL チェックを行い、提示された証明書の失効状況を確認することができます。

CRL 配布ポイント (CDP) とは何ですか?
CDP とは、CA についての証明書失効リストを取得できる場所を示す証明書拡張です。これには、0 個、1 つ、または複数の HTTP、ファイル、または LDAP の URL が含まれていることがあります。

オンライン証明書状態プロトコル (OCSP) とは何ですか?
OCSP とは証明書の状態をリアルタイムで検証できるプロトコルです。通常、OCSP レスポンダーは CA から取得した CRL に基づいて失効の状態を応答します。

マイクロソフトはこの問題解決の手助けを行うために何をしていますか?
この問題はマイクロソフト製品に存在する問題が原因ではありませんが、マイクロソフトはこれら 9 つの不正な証明書が常に信頼されないものとして処理されるようにすることでお客様を保護する手助けとなる更新プログラムを開発しました。

マイクロソフトのソフトウェアに問題が存在しないのに、なぜマイクロソフトは更新プログラムを公開するのですか?
CRL および OCSP 検証が有効であっても、これらの証明書の悪用に対しユーザーが保護されることを保証するにあたり、検証技術は十分に強固ではありません。CRL の場所および OCSP レスポンダーが接続されれば、検証のチェックは非常に信頼でき、また有効です。

しかし、証明書の失効チェックがネットワークや接続の問題のため失敗した場合、Internet Explorer を含むブラウザーやその他のクライアント アプリケーションは失敗したという証拠不足のためこれらのエラーを無視し、その証明書が信頼できるものとする可能性があります。これらのシナリオで、お客様は依然として影響を受ける可能性があります。

この更新プログラムはどのように問題を修正しますか?
サポートされるリリースの Microsoft Windows 用の更新プログラムは、9 つの不正な証明書を Microsoft Windows のローカルの信頼されていない証明書ストアに格納して、この問題を解決します。Windows Mobile 6.x、Windows Phone 7および Zune HD デバイス 用の更新プログラムは、9 つの不正な証明書をデバイスのローカルの信頼されていない証明書ストアに格納して、この問題を解決します。現時点では、Microsoft Kin 用の更新プログラムは利用可能ではありません。

無効な証明書のエラーが発生した場合、それはどのように分かるのですか?
Internet Explorer が無効な証明書に遭遇すると、ユーザーに「この Web サイトのセキュリティ証明書には問題があります。」と通知する Web ページが表示されます。この警告メッセージが表示された場合、ユーザーは Web ページを閉じ、そのサイトから移動することを推奨します。

証明書失効リスト (CRL) またはオンライン証明書状態プロトコル (OCSP) 検証が有効である場合などで、証明書が無効であると確認された場合のみ、ユーザーにこのメッセージが表示されます。OCSP 検証は既定で、サポートされているエディションの Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2 上の Internet Explorer 7 およびそれ以降のバージョンの Internet Explorer で有効となっています。

更新プログラムを適用した後、信頼されていない証明書のフォルダー内の証明書をどのように検証することができますか?
証明書を表示する方法に関する情報は、MSDN コラム 方法 : MMC スナップインを使用して証明書を参照する をご覧ください。

証明書 MMC スナップインで、次の証明書が信頼されていない証明書のフォルダーに追加されていることを確認してください。

証明書シリアル番号
addons.mozilla.org00 92 39 d5 34 8f 40 d1 69 5a 74 54 70 e1 f2 3f 43
“Global Trustee”00 d8 f3 5f 4e b7 87 2b 2d ab 06 92 e3 15 38 2f b0
login.live.com00 b0 b7 13 3e d0 96 f9 b5 6f ae 91 c8 74 bd 3a c0
login.skype.com00 e9 02 8b 95 78 e4 15 dc 1a 71 0a 2b 88 15 44 47
login.yahoo.com00 d7 55 8f da f5 f1 10 5b b2 13 28 2b 70 77 29 a3
login.yahoo.com39 2a 43 4f 0e 07 df 1f 8a a3 05 de 34 e0 c2 29
login.yahoo.com3e 75 ce d4 6b 69 30 21 21 88 30 ae 86 a8 2a 71
mail.google.com04 7e cb e9 fc a5 5f 7b d0 9e ae 36 e1 0c ae 1e
www.google.com00 f5 c8 6a f3 61 62 f1 3a 64 f5 4f 6d c9 58 7c 06

更新プログラムのインストール

  • サポートされているリリースの Microsoft Windows

    この問題の解決に役立てるための更新プログラムがご利用可能です。

    自動更新を有効にしている大多数のお客様には、この更新プログラムが自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。自動更新を有効にしていない場合、この更新プログラムを手動で確認し、インストールする必要があります。自動更新の具体的な構成オプションに関する情報は、マイクロソフト サポート技術情報 294871 をご覧ください。

    この更新プログラムを手動でインストールしたい管理者およびエンタープライズ インストール、またはエンド ユーザーについては、マイクロソフトは更新プログラム管理ソフトウェアを使用して、または Microsoft Update サービスを使用して更新プログラムを確認することにより、この更新プログラムを直ちに適用することを推奨します。

    この更新プログラムは、マイクロソフト ダウンロード センターからもご利用可能です。マイクロソフト サポート技術情報 2524375 をご覧ください。

  • Windows Phone 7 デバイス

    公開時点では、この更新プログラムはすべての Windows Phone 7 をご使用のお客様には利用可能ではありませんが、更新プログラムが利用可能となり次第、デバイス上で通知する予定です。詳細情報を入手する、またはこの更新プログラムをインストールするためには、ご使用の Windows Phone 7 をコンピューターに接続し、Zune PC クライアントまたは Windows Phone 7 Connector (for Mac) を使用して更新プロセスを完了させてください。この更新プログラムに関する詳細情報は、サポート技術情報 2524375 をご覧ください。

    Zune PC クライアントを更新するためには、お客様は Microsoft Update サービスを使用して Microsoft Update からオンラインで更新プログラムをチェックするための自動更新を構成することができます。Microsoft Update から更新プログラムをオンラインでチェックするために自動更新を有効にし、構成しているお客様は、通常このセキュリティ更新プログラムは自動でダウンロードおよびインストールされるため、Zune ソフトウェアを更新するための操作をする必要はありません。

  • Windows Mobile 6.x デバイス

    この更新プログラムは、マイクロソフト ダウンロード センターからご利用いただけます。この更新プログラムに関する詳細情報およびダウンロード リンクは、サポート技術情報 2524375 をご覧ください。

  • Zune HD デバイス

    この更新プログラムは、Zune PC クライアントを使用して利用可能です。更新プログラムは、Zune HD デバイスを更新済みの Zune ソフトウェアへ接続した際に適用されます。この更新プログラムに関する詳細情報は、サポート技術情報 2524375 をご覧ください。

    Zune PC クライアントを更新するためには、お客様は Microsoft Update サービスを使用して Microsoft Update からオンラインで更新プログラムをチェックするための自動更新を構成することができます。Microsoft Update から更新プログラムをオンラインでチェックするために自動更新を有効にし、構成しているお客様は、通常このセキュリティ更新プログラムは自動でダウンロードおよびインストールされるため、Zune ソフトウェアを更新するための操作をする必要はありません。

追加の推奨されるアクション

  • このアドバイザリに関連するマイクロソフト サポート技術情報を検討する

    この問題に関する詳細情報は、マイクロソフト サポート技術情報 2524375 をご覧ください。

  • コンピューターを守る

    マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。これらのステップについては、Protect Your PC Web サイトをご覧ください。

    インターネットにおける安全性に関する詳細情報は、マイクロソフトのセキュリティ ホーム ページをご覧ください。

  • マイクロソフトのソフトウェアを最新に保つ

    マイクロソフトのソフトウェアをお使いのお客様は、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、お使いのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、Microsoft Update で、利用可能な更新プログラムがあるかどうかに関してコンピューターをスキャンし、提供されている優先度の高い更新プログラムをインストールして下さい。自動更新が有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。

関連情報

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。この様な保護環境を提供するセキュリティ ソフトウェアの製造元の情報は、Microsoft Active Protections Program (MAPP) Partners (英語情報) に記載されている各社のWeb サイトをご覧ください。

フィードバック

サポート

免責条項

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。)結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • 2011/03/24: このアドバイザリを公開しました。
  • 2011/04/20: マイクロソフトはこのアドバイザリを更新し、Windows Mobile 6.x、Windows Phone 7、Microsoft Kin および Zune デバイスを、「影響を受けるソフトウェアおよびデバイス」に追加しました。
  • 2011/05/09: このアドバイザリを更新し、Windows Phone 7 デバイス用の更新プログラムの公開についてお知らせしました。公開時点ではこの更新プログラムはすべてのお客様に利用可能ではありません。詳細情報はこのアドバイザリの「よく寄せられる質問」をご覧ください。
  • 2011/05/11: このアドバイザリを更新し、Windows Mobile 6.x デバイス用の更新プログラムの公開についてお知らせしました。
  • 2011/07/07: このアドバイザリを更新し、Zune HD デバイス用の更新プログラムの公開をお知らせし、一部の Zune デバイスを「影響を受けないソフトウェア」の表へ移動しました。

Built at 2014-04-18T13:49:36Z-07:00

表示: