セキュリティ アドバイザリ
Microsoft セキュリティ アドバイザリ 2718704
承認されていないデジタル証明書がスプーフィングを許可する可能性がある
公開日: 2012 年 6 月 3 日 |更新日: 2012 年 6 月 13 日
バージョン: 1.1
一般情報
概要
Microsoft は、Microsoft 証明機関から派生した未承認のデジタル証明書を使用したアクティブな攻撃を認識しています。 承認されていない証明書を使用して、コンテンツのなりすまし、フィッシング攻撃、中間者攻撃の実行を行う可能性があります。 この問題は、Microsoft Windows でサポートされているすべてのリリースに影響します。
Microsoft は、サポートされているすべてのリリースの Microsoft Windows の更新プログラムを提供しています。 この更新プログラムは、次の中間 CA 証明書の信頼を取り消します。
- Microsoft によって適用されるライセンス中間 PCA (2 つの証明書)
- Microsoft 強制ライセンス登録機関 CA (SHA1)
推奨。 Microsoft Windows のサポートされているリリースでは、更新プログラム管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックして、更新プログラムを直ちに適用することをお勧めします。 詳細については、このアドバイザリの 「推奨されるアクション」 セクションを参照してください。
アドバイザリの詳細
問題のリファレンス
この問題の詳細については、次のリファレンスを参照してください。
リファレンス | [識別] |
---|---|
Microsoft サポート技術情報の記事 | 2718704 |
影響を受けるソフトウェアとデバイス
このアドバイザリでは、影響を受ける次のソフトウェアとデバイスについて説明します。
影響を受けるソフトウェア |
---|
オペレーティング システム |
Windows XP Service Pack 3 |
Windows XP Professional x64 Edition Service Pack 2 |
Windows Server 2003 Service Pack 2 |
Windows Server 2003 x64 Edition Service Pack 2 |
Itanium ベースのシステム用 Windows Server 2003 SP2 |
Windows Vista Service Pack 2 |
Windows Vista x64 Edition Service Pack 2 |
Windows Server 2008 for 32 ビット システム Service Pack 2 |
x64 ベースシステム Service Pack 2 用 Windows Server 2008 |
Windows Server 2008 for Itanium ベースのシステム Service Pack 2 |
Windows 7 for 32 ビット システム |
Windows 7 for 32 ビット システム Service Pack 1 |
Windows 7 for x64 ベースのシステム |
Windows 7 for x64 ベースのシステム Service Pack 1 |
x64 ベースの Windows Server 2008 R2 |
x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 |
Windows Server 2008 R2 for Itanium-based Systems |
Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1 |
Server Core のインストール オプション |
Windows Server 2008 for 32 ビット システム Service Pack 2 (Server Core インストール) |
x64 ベースシステム Service Pack 2 用 Windows Server 2008 (Server Core インストール) |
x64 ベース システム用 Windows Server 2008 R2 (Server Core インストール) |
x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 (Server Core インストール) |
影響を受けのないデバイス |
---|
Windows Mobile 6.x |
Windows Phone 7 |
Windows Phone 7.5 |
よく寄せられる質問
この勧告が 2012 年 6 月 13 日に改訂された理由
Microsoft は、このアドバイザリを改訂して、さらに調査した後、Windows Mobile 6.x、Windows 電話 7、Windows 電話 7.5 のデバイスが問題の影響を受けないことをお客様に通知しました。
アドバイザリの範囲は何ですか?
このアドバイザリの目的は、2 つの承認されていない証明書が Microsoft によって発行され、アクティブな攻撃で使用されていることを Microsoft が確認したことをお客様に通知することです。 調査中に、3 つ目の証明機関が脆弱な暗号を使用して証明書を発行したことが判明しました。
Microsoft は、この問題に対処する Microsoft Windows のサポートされているすべてのリリースに対して更新プログラムを発行しました。
この更新プログラムは、承認されていない他のデジタル証明書に対処しますか?
はい。このアドバイザリで説明されている 3 つの未承認の証明書に対処するだけでなく、この更新プログラムは累積的であり、前のア ドバイザリで説明した未承認のデジタル証明書 (Microsoft セキュリティ アドバイザリ 2524375、 Microsoft セキュリティ アドバイザリ 2607712、 および Microsoft セキュリティ アドバイザリ 2641690) に対処します。
Windows 8 コンシューマー プレビューは、このアドバイザリで対処された問題の影響を受けますか?
はい。 この更新プログラムは、Windows 8 Consumer Preview リリースで利用できます。 Windows 8 コンシューマー プレビューをお持ちのお客様は、システムに更新プログラムを適用することをお勧めします。 更新プログラムは Windows Update でのみ使用できます。
Windows 8 リリース プレビューは、このアドバイザリで対処された問題の影響を受けますか?
はい。 この更新プログラムは、Windows 8 リリース プレビュー リリースで使用できます。 Windows 8 リリース プレビューをお持ちのお客様は、システムに更新プログラムを適用することをお勧めします。 更新プログラムは Windows Update でのみ使用できます。
暗号化とは
暗号化は、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号テキストと呼ばれます) の間で変換することによって、情報をセキュリティで保護する科学です。
あらゆる形式の暗号化では、キーと呼ばれる値が暗号化アルゴリズムと呼ばれるプロシージャと組み合わせて使用され、プレーンテキスト データを暗号テキストに変換します。 最も使い慣れた種類の暗号化である秘密鍵暗号化では、暗号テキストは同じキーを使用してプレーンテキストに変換されます。 ただし、2 番目の種類の暗号化である公開キー暗号化では、暗号化テキストをプレーンテキストに変換するために別のキーが使用されます。
デジタル証明書とは
公開キー暗号化では、秘密キーと呼ばれるいずれかのキーを秘密にしておく必要があります。 公開キーと呼ばれるもう 1 つのキーは、世界と共有することを目的としています。 ただし、キーの所有者がキーが属するユーザーを世界に伝える方法が必要です。 デジタル証明書は、これを行う方法を提供します。 デジタル証明書は、公開キーとその公開キーに関する情報をパッケージ化する改ざん防止データです。公開キーの所有者、使用できる情報、有効期限が切れた場合などです。
証明書の用途
証明書は主に、個人またはデバイスの ID の確認、サービスの認証、またはファイルの暗号化に使用されます。 通常、証明書についてまったく考慮する必要はありません。 ただし、証明書の有効期限が切れているか無効であることを示すメッセージが表示されることがあります。 このような場合は、メッセージの指示に従う必要があります。
証明機関 (CA) とは
証明機関は、証明書を発行する組織です。 ユーザーまたは他の証明機関に属する公開キーの信頼性を確立して検証し、証明書を要求する個人または組織の ID を確認します。
証明書信頼リスト (CTL) とは
署名されたメッセージの受信者とメッセージの署名者の間に信頼が存在する必要があります。 この信頼を確立する方法の 1 つは、証明書を通じて、エンティティまたは個人が誰であるかを検証する電子ドキュメントです。 証明書は、両方の当事者によって信頼されているサード パーティによってエンティティに発行されます。 そのため、署名済みメッセージの各受信者は、署名者の証明書の発行者が信頼できるかどうかを決定します。 CryptoAPI には、アプリケーション開発者が、信頼できる証明書またはルートの定義済みの一覧に対して証明書を自動的に検証するアプリケーションを作成できるようにする手法が実装されています。 この信頼されたエンティティの一覧 (サブジェクトと呼ばれます) は、証明書信頼リスト (CTL) と呼ばれます。 詳細については、MSDN の記事 「証明書の信頼の検証」を参照してください。
問題の原因は何ですか?
Microsoft は、Microsoft 証明機関から派生した未承認のデジタル証明書を使用したアクティブな攻撃を認識しています。 承認されていない証明書を使用して、コンテンツのなりすまし、フィッシング攻撃の実行、中間者攻撃の実行を行う可能性があります。 この問題は、Microsoft Windows でサポートされているすべてのリリースに影響します。
攻撃者はこの問題を使用して何を行う可能性がありますか?
攻撃者は、これらの証明書を使用して、コンテンツのなりすまし、フィッシング攻撃、中間者攻撃を実行する可能性があります。
中間者攻撃とは
中間者攻撃は、攻撃者が 2 人のユーザーの情報を知らずに、攻撃者のコンピューターを介して 2 人のユーザー間の通信を再ルーティングするときに発生します。 通信の各ユーザーは、意図したユーザーとだけ通信していると考えながら、知らず知らずのうちに攻撃者との間でトラフィックを送受信します。
この問題の解決に役立つ Microsoft の取り組み
信頼されていない証明書ストアが更新され、影響を受ける Microsoft 証明機関の信頼が削除されました。
更新プログラムを適用した後、Microsoft 信頼されていない証明書ストアの証明書を確認するにはどうすればよいですか?
証明書を表示する方法については、MSDN の記事 「方法: MMC スナップインを使用して証明書を表示する」を参照してください。
証明書 MMC スナップインで、次の証明書が信頼されていない証明書フォルダーに追加されていることを確認します。
証明書 | Issued by | 拇印 |
---|---|---|
Microsoft によって適用されるライセンス中間 PCA | Microsoft Root Authority | 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70 |
Microsoft によって適用されるライセンス中間 PCA | Microsoft Root Authority | 3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08 |
Microsoft 強制ライセンス登録機関 CA (SHA1) | Microsoft Root Certificate Authority | fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97 |
推奨されるアクション
Microsoft Windows のサポートされているリリースの場合
ほとんどのお客様は自動更新を有効にしており、KB (キロバイト)2718704更新プログラムが自動的にダウンロードおよびインストールされるため、何も行う必要はありません。 自動更新を有効にしていないお客様は、更新プログラムをチェックし、この更新プログラムを手動でインストールする必要があります。 自動更新の特定の構成オプションについては、マイクロソフト サポート技術情報の記事294871を参照してください。
管理者と企業のインストール、またはKB (キロバイト)2718704更新プログラムを手動でインストールするエンド ユーザーの場合は、更新管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックして、更新プログラムを直ちに適用することをお勧めします。 更新プログラムを手動で適用する方法の詳細については、マイクロソフト サポート技術情報の記事2718704を参照してください。
その他の推奨されるアクション
PC を保護する
ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 これらの手順の詳細については、「コンピューターの保護」を参照してください。
インターネット上の安全を維持する方法の詳細については、Microsoft Security Central を参照してください。
Microsoft ソフトウェアを最新の状態に保つ
Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新を有効にして、Microsoft 製品の更新プログラムを提供するように構成している場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。
その他の情報
Microsoft Active Protections Program (MAPP)
お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトを参照してください。
フィードバック
- Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。
サポート
- 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 使用可能なサポート オプションの詳細については、Microsoft のヘルプとサポートを参照してください。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 国際サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポートを参照してください。
- Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。
免責情報
このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
- V1.0 (2012 年 6 月 3 日): アドバイザリが公開されました。
- V1.1 (2012 年 6 月 13 日): Windows Mobile 6.x、Windows 電話 7、Windows 電話 7.5 のデバイスが問題の影響を受けないことをお客様に通知するように改訂されたアドバイザリ。
ビルド日: 2014-04-18T13:49:36Z-07:00