セキュリティ アドバイザリ
Microsoft セキュリティ アドバイザリ 2798897
不正なデジタル証明書がスプーフィングを可能にする可能性がある
公開日: 2013 年 1 月 3 日 |更新日: 2013 年 1 月 14 日
バージョン: 1.1
一般情報
概要
Microsoft は、信頼されたルート証明機関ストアに存在する CA である、TURKTRUST Inc.によって発行された 1 つの不正なデジタル証明書を使用したアクティブな攻撃を認識しています。 この不正な証明書は、コンテンツのなりすまし、フィッシング攻撃、中間者攻撃の実行に使用できます。 この問題は、Microsoft Windows でサポートされているすべてのリリースに影響します。
タークトラスト社が誤って 2 つの子会社 CA (*.EGO.GOV.TR と e-islem.kktcmerkezbankasi.org) を作成しました。 その後、*.EGO.GOV.TR 子会社 CA を使用して、不正なデジタル証明書を *.google.com に発行しました。 この不正な証明書は、コンテンツのなりすまし、フィッシング攻撃の実行、または複数の Google Web プロパティに対する中間者攻撃の実行に使用できます。
このデジタル証明書の不正な使用から顧客を保護するために、Microsoft は証明書信頼リスト (CTL) を更新し、この問題の原因となっている証明書の信頼を削除する Microsoft Windows のサポートされているすべてのリリースの更新プログラムを提供しています。 これらの証明書の詳細については、このアドバイザリの 「よく寄せられる質問」セクションを 参照してください。
推奨。 Windows 8、Windows RT、Windows Server 2012、Windows 電話 8 を実行しているデバイスなど、失効した証明書の自動アップデーターを使用するシステム (詳細については、Microsoft サポート技術情報の記事2677070を参照) の場合、これらのシステムは自動的に保護されるため、アクションは必要ありません。
失効した証明書の自動更新プログラムをインストールしないことを選択した Windows XP および Windows Server 2003 のお客様の場合、Microsoft では、更新プログラム管理ソフトウェアを使用して、または Microsoft Update サービスを使用して更新プログラムをチェックするか、手動で更新プログラムをダウンロードして適用することにより、2798897更新プログラムを直ちに適用することをお勧めします。 詳細については、このアドバイザリの 「推奨されるアクション」 セクションを参照してください。
アドバイザリの詳細
問題のリファレンス
この問題の詳細については、次のリファレンスを参照してください。
| リファレンス | [識別] |
|---|---|
| Microsoft サポート技術情報の記事 | 2798897 |
影響を受けるソフトウェアとデバイス
このアドバイザリでは、影響を受ける次のソフトウェアとデバイスについて説明します。
| 影響を受けるソフトウェア |
|---|
| オペレーティング システム |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Itanium ベースのシステム用 Windows Server 2003 SP2 |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 for 32 ビット システム Service Pack 2 |
| x64 ベースシステム Service Pack 2 用 Windows Server 2008 |
| Windows Server 2008 for Itanium ベースのシステム Service Pack 2 |
| Windows 7 for 32 ビット システム |
| Windows 7 for 32 ビット システム Service Pack 1 |
| Windows 7 for x64 ベースのシステム |
| Windows 7 for x64 ベースのシステム Service Pack 1 |
| x64 ベースの Windows Server 2008 R2 |
| x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 |
| Windows Server 2008 R2 for Itanium-based Systems |
| Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1 |
| Windows 8 |
| Windows Server 2012 |
| Windows RT |
| Server Core のインストール オプション |
| Windows Server 2008 for 32 ビット システム Service Pack 2 (Server Core インストール) |
| x64 ベースシステム Service Pack 2 用 Windows Server 2008 (Server Core インストール) |
| x64 ベース システム用 Windows Server 2008 R2 (Server Core インストール) |
| x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 (Server Core インストール) |
| Windows Server 2012 (Server Core のインストール) |
| 影響を受けるデバイス |
| Windows Phone 8 |
| 影響を受けのないデバイス |
|---|
| Windows Phone 7 |
| Windows Phone 7.5 |
| Windows Phone 7.8 |
よく寄せられる質問
アドバイザリの範囲は何ですか?
このアドバイザリの目的は、複数の Google Web プロパティに影響を与えるアクティブな攻撃で 1 つの不正なデジタル証明書が使用されたことを Microsoft が確認したことをお客様に通知することです。 この証明書とその他の 2 つの証明書は信頼されておらず、CTL に追加されています。 Windows 8、Windows RT、Windows Server 2012 など、失効した証明書の自動アップデーターを使用するシステム (詳細については、Microsoft サポート技術情報の記事の2677070を参照) の場合、これらのシステムは自動的に保護されるため、アクションは必要ありません。
Windows XP および Windows Server 2003 のお客様、Microsoft サポート技術情報の記事2677070をインストールしていないお客様、または Microsoft Update に接続できない切断されたシステムの場合は、サポートされているすべてのリリースの Microsoft Windows の更新プログラムを使用して問題に対処できます。
問題の原因は何ですか?
Microsoft は、信頼されたルート証明機関ストアに存在する CA である TURKTRUST Inc.によって発行された 1 つの不正なデジタル証明書を使用して、アクティブな攻撃を認識しました。 タークトラスト社が誤って 2 つの子会社 CA (*.EGO.GOV.TR と e-islem.kktcmerkezbankasi.org) を作成しました。 *.EGO.GOV.TR は、*.google.com に不正なデジタル証明書を発行するために使用されました。 この不正な証明書は、コンテンツのなりすまし、フィッシング攻撃の実行、または複数の Google Web プロパティに対する中間者攻撃の実行に使用できます。
調査中、*.EGO.GOV.TR 証明書と e-islem.kktcmerkezbankasi.org 証明書が正しく発行されていないと識別されました。CRL または OCSP 拡張機能がなく、エンド エンティティ証明書として誤って発行されました。 そのため、予防措置として、これらの証明書の信頼も取り消しています。
この更新プログラムは、他のデジタル証明書に対処しますか?
はい。このアドバイザリで説明されている証明書に対処するだけでなく、この更新プログラムは累積的であり、前のアドバイザリで説明したデジタル証明書が含まれています: Microsoft セキュリティ アドバイザリ 2524375、 Microsoft セキュリティ アドバイザリ 2607712、 Microsoft セキュリティ アドバイザリ 2641690、 Microsoft セキュリティ アドバイザリ 2718704、 および Microsoft セキュリティ アドバイザリ 2728973。
暗号化とは
暗号化は、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号テキストと呼ばれます) の間で変換することによって、情報をセキュリティで保護する科学です。
あらゆる形式の暗号化では、キーと呼ばれる値が暗号化アルゴリズムと呼ばれるプロシージャと組み合わせて使用され、プレーンテキスト データを暗号テキストに変換します。 最も使い慣れた種類の暗号化である秘密鍵暗号化では、暗号テキストは同じキーを使用してプレーンテキストに変換されます。 ただし、2 番目の種類の暗号化である公開キー暗号化では、暗号化テキストをプレーンテキストに変換するために別のキーが使用されます。
デジタル証明書とは
公開キー暗号化では、秘密キーと呼ばれるいずれかのキーを秘密にしておく必要があります。 公開キーと呼ばれるもう 1 つのキーは、世界と共有することを目的としています。 ただし、キーの所有者がキーが属するユーザーを世界に伝える方法が必要です。 デジタル証明書は、これを行う方法を提供します。 デジタル証明書は、公開キーとその情報 (誰が所有するか、何に使用できるか、有効期限が切れたときなど) と共にパッケージ化する改ざん防止データです。
証明書の用途
証明書は主に、個人またはデバイスの ID の確認、サービスの認証、またはファイルの暗号化に使用されます。 通常、証明書についてまったく考慮する必要はありません。 ただし、証明書の有効期限が切れているか無効であることを示すメッセージが表示されることがあります。 このような場合は、メッセージの指示に従う必要があります。
証明機関 (CA) とは 証明機関は、証明書を発行する組織です。 ユーザーまたは他の証明機関に属する公開キーの信頼性を確立して検証し、証明書を要求する個人または組織の ID を確認します。
証明書信頼リスト (CTL) とは 署名されたメッセージの受信者とメッセージの署名者の間に信頼が存在する必要があります。 この信頼を確立する方法の 1 つは、証明書を通じて、エンティティまたは個人が誰であるかを検証する電子ドキュメントです。 証明書は、両方の当事者によって信頼されているサード パーティによってエンティティに発行されます。 そのため、署名済みメッセージの各受信者は、署名者の証明書の発行者が信頼できるかどうかを決定します。 CryptoAPI には、アプリケーション開発者が、信頼できる証明書またはルートの定義済みの一覧に対して証明書を自動的に検証するアプリケーションを作成できるようにする手法が実装されています。 この信頼されたエンティティの一覧 (サブジェクトと呼ばれます) は、証明書信頼リスト (CTL) と呼ばれます。 詳細については、MSDN の記事 「証明書の信頼の検証」を参照してください。
攻撃者はこれらの証明書に対して何を行う可能性がありますか?
攻撃者は、これらの証明書を使用して、コンテンツのなりすまし、フィッシング攻撃の実行、または次の Web プロパティに対する中間者攻撃を実行する可能性があります。
- *.google.com
- *.android.com
- *.appengine.google.com
- *.cloud.google.com
- *.google-analytics.com
- *.google.ca
- *.google.cl
- *.google.co.in
- *.google.co.jp
- *.google.co.uk
- *.google.com.ar
- *.google.com.au
- *.google.com.br
- *.google.com.co
- *.google.com.mx
- *.google.com.tr
- *.google.com.vn
- *.google.de
- *.google.es
- *.google.fr
- *.google.hu
- *.google.it
- *.google.nl
- *。Google.pl
- *.google.pt
- *.googleapis.cn
- *.googlecommerce.com
- *.gstatic.com
- *.urchin.com
- *.url.google.com
- *.youtube-nocookie.com
- *.youtube.com
- *.ytimg.com
- android.com
- g.co
- goo.gl
- google-analytics.com
- google.com
- googlecommerce.com
- urchin.com
- youtu.be
- youtube.com
中間者攻撃とは
中間者攻撃は、攻撃者が 2 人のユーザーの情報を知らずに、攻撃者のコンピューターを介して 2 人のユーザー間の通信を再ルーティングするときに発生します。 通信の各ユーザーは、意図したユーザーとだけ通信していると考えながら、知らず知らずのうちに攻撃者との間でトラフィックを送受信します。
この問題の解決に役立つ Microsoft の取り組み
この問題は Microsoft 製品の問題によるものではありませんが、CTL を更新し、お客様を保護するための更新プログラムを提供しています。 Microsoft は引き続きこの問題を調査し、CTL に今後変更を加えたり、お客様を保護するために将来の更新プログラムをリリースしたりする可能性があります。
更新プログラムを適用した後、Microsoft 信頼されていない証明書ストアの証明書を確認するにはどうすればよいですか?
Windows 8、Windows RT、Windows Server 2012 など、失効した証明書の自動更新プログラム (詳細については、Microsoft サポート技術情報の記事2677070を参照) を使用するシステムの場合は、イベント ビューアーのアプリケーション ログを次の値でチェックできます。
- ソース: CAPI2
- レベル: Information
- イベント ID: 4112
- 説明: 有効日 :2012 年 12 月 31 日 (またはそれ以降) に、許可されていない証明書リストの自動更新に成功しました。
失効した証明書の自動アップデーターを使用していないシステムの場合は、証明書 MMC スナップインで、次の証明書が信頼されていない証明書フォルダーに追加されていることを確認します。
| 証明書 | Issued by | 拇印 |
|---|---|---|
| *.google.com | *.EGO.GOV.TR | 4d 85 47 b7 f8 64 13 2a 7f 62 d9 b7 5b 06 85 21 f1 0b 68 e3 |
| e-islem.kktcmerkezbankasi.org | TURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri | f9 2b e5 26 6c c0 5d b2 dc 0d c3 f2 dc 74 e0 2d ef d9 49 cb |
| *.EGO.GOV.TR | TURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri | c6 9f 28 c8 25 13 9e 65 a6 46 c4 34 ac a5 a1 d2 00 29 5d b1 |
注 : MMC スナップインで証明書を表示する方法については、MSDN の記事 「方法: MMC スナップインで証明書を表示する」を参照してください。
推奨されるアクション
Microsoft Windows のサポートされているリリースの場合
失効した証明書の自動更新プログラム (Microsoft サポート技術情報の記事2677070) をお持ちのお客様は、CTL が自動的に更新されるため、何も行う必要はありません。
注: Windows 電話 8 を実行しているデバイスには、失効した証明書の自動アップデーターが含まれており、自動的に更新されます。
失効した証明書の自動更新機能を使用して自動的に保護する管理者とエンタープライズ インストールの場合は、Microsoft サポート技術情報の記事2677070を参照して、切断されたシステムまたは厳密なエグレス フィルター処理が必要な環境に適していることを確認してください。
失効した証明書の自動更新プログラムをインストールしないことを選択した Windows XP および Windows Server 2003 のお客様の場合、Microsoft では、更新プログラム管理ソフトウェアを使用して、または Microsoft Update サービスを使用して更新プログラムをチェックするか、手動で更新プログラムをダウンロードして適用することにより、2798897更新プログラムを直ちに適用することをお勧めします。 ダウンロード リンクについては、マイクロソフト サポート技術情報の記事2798897を参照してください。
その他の推奨されるアクション
PC を保護する
ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 詳細については、「Microsoft セーフty & Security Center」を参照してください。
Microsoft ソフトウェアを最新の状態に保つ
Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新を有効にして、Microsoft 製品の更新プログラムを提供するように構成している場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。
その他の情報
謝辞
Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。
- Adam Langley と Google Chrome セキュリティ チームは、インシデントを当社の注意に導き、対応に関する作業を行います
Microsoft Active Protections Program (MAPP)
お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトを参照してください。
フィードバック
- Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。
サポート
- 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 使用可能なサポート オプションの詳細については、Microsoft のヘルプとサポートを参照してください。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 国際サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポートを参照してください。
- Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。
免責情報
このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
- V1.0 (2013 年 1 月 3 日): アドバイザリが公開されました。
- V1.1 (2013 年 1 月 14 日): 許可されていない証明書一覧の有効日を、FAQ エントリの "2012 年 12 月 31 日 (以降) " に修正しました。"更新プログラムを適用した後、Microsoft 信頼されていない証明書ストアの証明書を確認するにはどうすればよいですか?
ビルド日: 2014-04-18T13:49:36Z-07:00