マイクロソフト セキュリティ アドバイザリ 2728973

承認されていないデジタル証明書により、なりすましが行われる

公開日: 2012年7月10日 | 最終更新日: 2012年9月13日

バージョン: 1.2

概説

概要

マイクロソフトは、弊社の推奨する安全な格納手続きを実施していないマイクロソフト証明機関の存在を認識しています。定期的なレビューにおいて、マイクロソフトでは、これらの証明書を信頼されていない証明書ストアに配置し、弊社の高水準の公開キー基盤 (PKI) 管理に対応する新しい証明機関で置き換えています。マイクロソフトは、証明書の悪用については認識していませんが、お客様を保護するために先制的な措置を講じています。この問題は、すべてのサポートされているリリースの Microsoft Windows に影響を及ぼします。

マイクロソフトはすべてのサポートされているリリースの Microsoft Windows に対して更新プログラムを提供しています。この更新プログラムは、以下の中間 CA による証明書を信頼されていない証明書ストアに配置します。

  • Microsoft Genuine Windows Phone Public Preview CA01
  • Microsoft IPTVe CA
  • Microsoft Online CA001
  • Microsoft Online Svcs BPOS APAC CA1
  • Microsoft Online Svcs BPOS APAC CA2
  • Microsoft Online Svcs BPOS APAC CA3
  • CN=Microsoft Online Svcs BPOS APAC CA4
  • Microsoft Online Svcs BPOS APAC CA5
  • Microsoft Online Svcs BPOS APAC CA6
  • Microsoft Online Svcs BPOS CA1
  • Microsoft Online Svcs BPOS CA2
  • Microsoft Online Svcs BPOS CA2 (証明書 2 件)
  • Microsoft Online Svcs BPOS EMEA CA1
  • Microsoft Online Svcs BPOS EMEA CA2
  • Microsoft Online Svcs BPOS EMEA CA3
  • Microsoft Online Svcs BPOS EMEA CA4
  • Microsoft Online Svcs BPOS EMEA CA5
  • Microsoft Online Svcs BPOS EMEA CA6
  • Microsoft Online Svcs CA1 (証明書 2 件)
  • Microsoft Online Svcs CA3 (証明書 2 件)
  • Microsoft Online Svcs CA4 (証明書 2 件)
  • Microsoft Online Svcs CA5 (証明書 2 件)
  • Microsoft Online Svcs CA6

推奨する対応策: サポートされているリリースの Microsoft Windows に対して、マイクロソフトは直ちにこの更新プログラムを適用することをお勧めします。詳細情報は、このセキュリティ アドバイザリの「推奨するアクション」の欄を参照してください。

既知の問題:  サポート技術情報 2728973 で、このセキュリティ更新プログラムをインストールする際に起こる可能性のある既知の問題に関して説明しています。

アドバイザリの詳細

問題に関するリファレンス

この問題に関する詳細情報については、次のリファレンスを参照してください。

参照情報番号
マイクロソフト サポート技術情報 2728973

影響を受けるソフトウェアおよびデバイス

このアドバイザリは次のソフトウェアおよびデバイスについて説明しています。

影響を受けるソフトウェア
オペレーティング システム
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Server Core インストール オプション
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core インストール)
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core インストール)
Windows Server 2008 R2 for x64-based Systems (Server Core インストール)
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール)

影響を受けないソフトウェア
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

このアドバイザリの目的は何ですか? 
このアドバイザリの目的は、マイクロソフトが、弊社の推奨する安全な格納手続きを実施していないマイクロソフト証明の機関の存在を認識していることをお知らせすることです。定期的なレビューおよび多数の警告から、マイクロソフトでは、これらの証明書を信頼されていない証明書ストアに配置し、弊社の高水準の公開キー基盤 (PKI) 管理に対応する新しい証明機関で置き換えています。マイクロソフトは、証明書の悪用については認識していませんが、お客様を保護するために先制的な措置を講じています。この問題は、すべてのサポートされているリリースの Microsoft Windows に影響を及ぼします。

マイクロソフトはすべてのサポートされるリリースの Microsoft Windows にこの問題に対応するための更新プログラムを提供しました。

この更新プログラムはその他の承認されていないデジタル証明書にも対応していますか? 
はい。このアドバイザリで説明している 28 個の承認されていない証明書に加え、この更新プログラムは累積的なもので、以前のアドバイザリで説明している承認されていないデジタル証明書にも対応しています: マイクロソフト セキュリティ アドバイザリ 2524375マイクロソフト セキュリティ アドバイザリ 2607712マイクロソフト セキュリティ アドバイザリ 2641690、およびマイクロソフト セキュリティ アドバイザリ 2718704

この更新プログラムは、以前のアドバイザリで説明されている証明書に対応しますが、以前のアドバイザリで導入されるすべての機能が含まれているわけではないことに注意してください。詳細については、サポート技術情報 2728973 の既知の問題を参照してください。

Windows 8 Release Preview および Windows Server 2012 RC 版 は、 この アドバイザリで対応されている 問題の影響を受けますか?  
はい。Windows 8 Release Preview および Windows Server 2012 RC 版向けの更新プログラムが利用可能です。Windows 8 Release Preview および Windows Server 2012 RC 版をご使用のお客様は、システムにこの更新プログラムを適用することをお勧めします。Windows 8 Release Preview および Windows Server 2012 Release Preview に対してこの更新プログラムを適用する方法については、このアドバイザリの「推奨するアクション」を参照してください。

暗号化とは何ですか?
暗号化とは、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号文として知られています) 間で情報を変換することにより、情報を保護する技術です。

すべての暗号化の形式で、プレーンテキスト データを暗号文に変換するために、暗号アルゴリズムと呼ばれるプロシージャと共に、キーと呼ばれる値が使用されます。最もよく知られた暗号化の種類は、秘密キーの暗号化で、暗号文が同じキーを使用してプレーンテキストに復号化されます。しかし、別の種類の暗号化である公開キーの暗号化では、暗号化テキストをプレーンテキストに復号化するために異なるキーが使用されます。

デジタル証明書とは何ですか?
公開鍵暗号では、キーの 1 つである秘密キーと呼ばれるキーは秘密にされている必要があります。公開キーと呼ばれているもう 1 つのキーは世界で共有されることが意図されています。しかし、キーの所有者がキーが誰に属しているかを公に知らせる方法が必要になります。デジタル証明書はこれを実行する方法を提供します。デジタル証明書は改ざんができないデータの一部で、公開キーと、公開キーについての情報 (所有者情報、使用用途、有効期限、その他の関連情報) を含みます。

証明書が使用される目的は何ですか?
証明書は主に人物またはデバイスの身元の確認、サービスの認証、またはファイルの暗号化に使用されます。通常、証明書について何も考える必要はありません。しかし、証明書の有効期限が切れている、または無効であることを示すメッセージが表示されることがあります。このような場合、メッセージの説明に従ってください。

証明機関 (CA) とは何ですか?
証明機関とは、証明書を発行する組織のことです。証明機関は、人物またはその他の証明機関に属す公開キーの信頼性を確立し、検証します。また、証明書を要求する人物または組織の身元を確認します。

証明書信頼リスト (CTL) とは何ですか?
信頼は署名されたメッセージの受信者とメッセージの署名者の間で存在しければなりません。この信頼を確立するための 1 つの方法は、その機関や人物が本物かどうかを確認するための電子ドキュメントである、証明書を通して行うことです。各証明書は、両者によって信頼された第三者機関によって各機関に発行されます。そして、署名されたメッセージの各受信者は、署名者の証明書の発行元が信頼できるかどうかを決定します。CryptoAPI は、アプリケーション開発者が信頼された証明書やルートの所定のリストに対して自動的に証明書を認証するアプリケーションを作成する手法を実装しました。この信頼された機関 (いわゆる subject) のリストは、証明書信頼リスト (CTL) と呼ばれています。詳細情報は、MSDN ライブラリ Certificate Trust Verification (英語情報) を参照してください。

この問題の原因は何ですか?
マイクロソフトは、弊社の推奨する安全な格納手続きを実施していないマイクロソフト証明機関の存在を認識しています。マイクロソフトは、証明書の悪用については認識していませんが、お客様を保護するために先制的な措置を講じています。

攻撃者は、この 問題 を悪用して何を行う可能性がありますか? 
攻撃者はこれらの証明書を悪用し、コンテンツのなりすまし、フィッシング攻撃の実行、または中間者攻撃を行う可能性があります。

中間者攻撃とは何ですか?
中間者攻撃は、通信中の双方のユーザーに気付くことなく、攻撃者のコンピューターで双方のユーザー間の通信が経路変更された際に発生する攻撃です。通信中の双方のユーザーは、意図した受信者とのみ通信中であると思い、気付かないまま攻撃者とトラフィックの送受信を行います。

マイクロソフトはこの問題解決の手助けを行うために何をしていますか?
マイクロソフトでは、影響を受けるマイクロソフトの証明機関を信頼されていない証明書ストアに配置し、弊社の高水準の公開キー基盤 (PKI) 管理に対応する新しい証明機関で置き換えました。

更新プログラムを適用した後、マイクロソフトの信頼されていない証明書ストア内の証明書をどのように確認することができますか?  
Windows 8 Release Preview および Windows Server 2012 RC 版も含め、失効した証明書の自動更新ツール (詳細については、サポート技術情報 2677070 を参照してください) を使用しているシステムの場合は、イベント ビューアーのアプリケーション ログから、次の値を含むエントリを確認できます。

  • ソース: CAPI2
  • レベル: 情報
  • イベント ID: 4112
  • 説明:許可されない証明書リストの自動更新に成功しました。有効期限: 2012 年 6 月 21 日 (またはそれ以降)。

失効した証明書の自動更新ツールを使用していないシステムの場合は、証明書 MMC スナップインで、次の証明書が信頼されていない証明書のフォルダーに追加されていることを確認してください。

証明書発行者拇印
Microsoft Genuine Windows Phone Public Preview CA01 Microsoft Windows Phone PCAe3 8a 2b 76 63 b8 67 96 43 6d 8d f5 89 8d 9f aa 68 35 b2 38
Microsoft IPTVe CAMicrosoft Home Entertainment PCAbe d4 12 b1 33 4d 7d fc eb a3 01 5e 5f 9f 90 5d 57 1c 45 cf
Microsoft Online CA001Microsoft Services PCAa1 50 5d 98 43 c8 26 dd 67 ed 4e a5 20 98 04 bd bb 0d f5 02
Microsoft Online Svcs BPOS APAC CA1Microsoft Services PCAd4 31 53 c8 c2 5f 00 41 28 79 87 25 0f 1e 3c ab ac 8c 21 77
Microsoft Online Svcs BPOS APAC CA2Microsoft Services PCAd8 ce 8d 07 f9 f1 9d 25 69 c2 fb 85 44 01 bc 99 c1 eb 7c 3b
Microsoft Online Svcs BPOS APAC CA3Microsoft Services PCAe9 5d d8 6f 32 c7 71 f0 34 17 43 eb d7 5e c3 3c 74 a3 de d9
CN=Microsoft Online Svcs BPOS APAC CA4Microsoft Services PCA3a 26 01 21 71 85 5d 40 20 c9 73 be c3 f4 f9 da 45 bd 2b 83
Microsoft Online Svcs BPOS APAC CA5Microsoft Services PCAd0 bb 3e 3d fb fb 86 c0 ee e2 a0 47 e3 28 60 9e 6e 1f 18 5e
Microsoft Online Svcs BPOS APAC CA6Microsoft Services PCA08 73 8a 96 a4 85 3a 52 ac ef 23 f7 82 e8 e1 fe a7 bc ed 02
Microsoft Online Svcs BPOS CA1Microsoft Services PCA76 13 bf 0b a2 61 00 6c ac 3e d2 dd be f3 43 42 53 57 f1 8b
Microsoft Online Svcs BPOS CA2Microsoft Services PCA58 7b 59 fb 52 d8 a6 83 cb e1 ca 00 e6 39 3d 7b b9 23 bc 92
Microsoft Online Svcs BPOS CA2Microsoft Services PCA4e d8 aa 06 d1 bc 72 ca 64 c4 7b 1d fe 05 ac c8 d5 1f c7 6f
Microsoft Online Svcs BPOS CA2Microsoft Services PCAf5 a8 74 f3 98 7e b0 a9 96 1a 56 4b 66 9a 90 50 f7 70 30 8a
Microsoft Online Svcs BPOS EMEA CA1Microsoft Services PCAa3 5a 8c 72 7e 88 bc ca 40 a3 f9 67 9c e8 ca 00 c2 67 89 fd
Microsoft Online Svcs BPOS EMEA CA2Microsoft Services PCAe9 80 9e 02 3b 45 12 aa 4d 4d 53 f4 05 69 c3 13 c1 d0 29 4d
Microsoft Online Svcs BPOS EMEA CA3Microsoft Services PCAa7 b5 53 1d dc 87 12 9e 2c 3b b1 47 67 95 3d 67 45 fb 14 a6
Microsoft Online Svcs BPOS EMEA CA4Microsoft Services PCA33 0d 8d 3f d3 25 a0 e5 fd dd a2 70 13 a2 e7 5e 71 30 16 5f
Microsoft Online Svcs BPOS EMEA CA5Microsoft Services PCA09 27 1d d6 21 eb d3 91 0c 2e a1 d0 59 f9 9b 81 81 40 5a 17
Microsoft Online Svcs BPOS EMEA CA6Microsoft Services PCA83 8f fd 50 9d e8 68 f4 81 c2 98 19 99 2e 38 a4 f7 08 28 73
Microsoft Online Svcs CA1Microsoft Services PCA23 ef 33 84 e2 1f 70 f0 34 c4 67 d4 cb a6 eb 61 42 9f 17 4e
Microsoft Online Svcs CA1Microsoft Services PCAa2 21 d3 60 30 9b 5c 3c 40 97 c4 4c c7 79 ac c5 a9 84 5b 66
Microsoft Online Svcs CA3Microsoft Services PCA89 77 e8 56 9d 2a 63 3a f0 1d 03 94 85 16 81 ce 12 26 83 a6
Microsoft Online Svcs CA3Microsoft Services PCA37 4d 5b 92 5b 0b d8 34 94 e6 56 eb 80 87 12 72 75 db 83 ce
Microsoft Online Svcs CA4Microsoft Services PCA66 90 c0 2b 92 2c bd 3f f0 d0 a5 99 4d bd 33 65 92 88 7e 3f
Microsoft Online Svcs CA4Microsoft Services PCA5d 51 85 df 1e b7 dc 76 01 54 22 ec 81 38 a5 72 4b ee 28 86
Microsoft Online Svcs CA5Microsoft Services PCAa8 17 06 d3 1e 6f 5c 79 1c d9 d3 b1 b9 c6 34 64 95 4b a4 f5
Microsoft Online Svcs CA5Microsoft Services PCA4d f1 39 47 49 3c ff 69 cd e5 54 88 1c 5f 11 4e 97 c3 d0 3b
Microsoft Online Svcs CA6Microsoft Services PCA09 ff 2c c8 6c ee fa 8a 8b b3 f2 e3 e8 4d 6d a3 fa bb f6 3e

注: MMC スナップインで証明書を表示する方法については、MSDN ライブラリの「方法:MMC スナップインを使用して証明書を参照する」を参照してください。

Windows XP および Windows Server 2003 のサポートされている エディションの場合

自動更新を有効にしている大多数のお客様には、更新プログラム KB2728973 が自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。自動更新を有効にしていない場合、この更新プログラムを手動で確認し、インストールする必要があります。自動更新の具体的な構成オプションの詳細については、サポート技術情報 294871 を参照してください。

マイクロソフトは、管理者およびエンタープライズ インストール、または更新プログラム KB2728973 の手動インストールを希望するエンド ユーザーに対し、更新プログラム管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムを確認することによって、この更新プログラムを直ちに適用することをお勧めします。この更新プログラムを手動で更新する方法については、サポート技術情報 2728973 を参照してください。

Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、 Windows 8 Release Preview、および Windows Server 2012 Release Preview のサポートされている エディションの場合

自動更新を有効にしている大多数のお客様には、失効した証明書の自動更新ツールにより、証明書が信頼されていない証明書ストアに自動的に追加されることでこの問題が解決されるため、特別な措置を講じる必要はありません。

失効した証明書の自動更新ツールは、Microsoft Update サービスを通じて Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 で利用でき、マイクロソフト サポート技術情報 2677070 で説明されています。信頼されていない証明書の自動更新ツールは、Windows 8 Release Preview および Windows Server 2012 RC 版に含まれています。

失効した証明書の自動更新ツール (2677070) を持っていないエンド ユーザーや、インターネットに接続されていないシステムについては、マイクロソフトは直ちに更新プログラム KB2728973 を手動で適用することをお勧めします。この更新プログラムを手動で更新する方法については、サポート技術情報 2728973 を参照してください。

管理者およびエンタープライズ インストールについては、マイクロソフトは更新プログラム管理ソフトウェアを使用して、この更新プログラムを直ちに適用することをお勧めします。更新プログラムの詳細については、サポート技術情報 2728973 を参照してください。

追加の推奨されるアクション

  • コンピューターを守る

    マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。これらのステップについては、Protect Your PC Web サイトを参照してください。

    インターネットにおける安全性に関する詳細情報は、マイクロソフトのセキュリティ ホーム ページを参照してください。

  • マイクロソフトのソフトウェアを最新の状態に保つ

    マイクロソフトのソフトウェアをお使いのお客様は、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、お使いのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、Microsoft Update で、利用可能な更新プログラムがあるかどうかに関してコンピューターをスキャンし、提供されている優先度の高い更新プログラムをインストールしてください。自動更新が有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。

関連情報

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。

フィードバック

サポート

  • セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。利用可能なサポート オプションの詳細については、マイクロソフト サポート オンラインを参照してください。
  • その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフト プロダクト サポートへの連絡方法はこちらを参照してください。
  • Microsoft TechNetセキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2012/07/11): アドバイザリを公開しました。
  • V1.1 (2012/07/13): このアドバイザリを更新し、「よく寄せられる質問」の「更新プログラムを適用した後、マイクロソフトの信頼されていない証明書ストア内の証明書をどのように確認することができますか?」の質問に対する回答で、許可されない証明書のリストの発効日を修正し、2012 年 6 月 21 日 (またはそれ以降) としました。
  • V1.2 (2012/09/13):このアドバイザリを更新し、Microsoft Services PCA により発行された「CN=Microsoft Online Svcs BPOS APAC CA4」証明書についての一般的な名前を修正しました。

Built at 2014-04-18T13:49:36Z-07:00

表示: