• [アーティクル]

セキュリティ アドバイザリ

Microsoft セキュリティ アドバイザリ 2854544

Windows での暗号化とデジタル証明書の処理を改善するための更新

公開日: 2013 年 6 月 11 日 |更新日: 2013 年 11 月 12 日

バージョン: 1.3

一般情報

概要

Microsoft は、Windows での暗号化とデジタル証明書の処理を改善するための継続的な取り組みの一環として、更新プログラムの可用性を発表しています。 Microsoft は、このアドバイザリを通じて追加の更新プログラムを引き続き発表します。これはすべて、進化する脅威環境に対応して Windows 暗号化と証明書処理インフラストラクチャを強化することを目的としています。

使用可能な更新とリリース ノート

2013 年 11 月 12 日にリリースされた更新プログラム:

  • Microsoft は、RC4 の既知の弱点に対処するために、サポートされているすべてのエディションの Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、および Windows RT の更新プログラム (2868725) をリリースしました。 この更新プログラムは、影響を受けるすべてのソフトウェアの 自動更新と Microsoft Update サービスを通じて提供されます。 この更新プログラムは、Windows RT を除く影響を受けるすべてのソフトウェアのダウンロード センターと Microsoft Update カタログでも入手できます。 この更新プログラムでは、レジストリ設定を使用して、影響を受けるシステムで使用可能な暗号として RC4 を削除できます。 また、開発者は、SCHANNEL_CRED構造で SCH_U Standard Edition_STRONG_CRYPTO フラグを使用して、個々のアプリケーションの RC4 を削除することもできます。 これらのオプションは、既定では有効になっていません。 更新プログラムを適用した後、お客様は、環境に RC4 を実装する前に、RC4 を無効にするための新しい設定をテストすることをお勧めします。 詳細については、「Microsoft セキュリティ アドバイザリ 2868725」を参照してください
  • Microsoft は、X.509 デジタル証明書での SHA-1 ハッシュ アルゴリズムの廃止に関する Microsoft ルート証明書プログラムのポリシー変更を発表しました。 新しいポリシーでは、2016 年 1 月 1 日以降、SSL とコード署名のために SHA-1 ハッシュ アルゴリズムを使用してルート証明機関が X.509 証明書を発行することはできなくなります。 Microsoft では、できるだけ早い機会に SHA-1 証明書を SHA-2 証明書に置き換えることをお勧めします。 詳細については、「Microsoft セキュリティ アドバイザリ 2880823」を参照してください

2013 年 8 月 13 日にリリースされた更新プログラム:

  • Microsoft は、サポートされているすべてのエディションの Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、および Windows RT の更新プログラム (2862966) をリリースしました。 この更新プログラムは、影響を受けるすべてのソフトウェアの 自動更新と Microsoft Update サービスを通じて提供されます。 この更新プログラムは、Windows RT を除く影響を受けるすべてのソフトウェアのダウンロード センターと Microsoft Update カタログでも利用できます。 この更新プログラムは、Microsoft Windows で特定の暗号化およびハッシュ アルゴリズムを使用する証明書の管理を改善するためのフレームワークを提供します。 この更新プログラムは、証明書の使用を単独で制限するのではなく、証明書の使用を制限する後の更新プログラムの前提条件となる可能性があります。 この更新プログラムのインストール時にユーザーが発生する可能性がある現在の既知の問題の詳細については、マイクロソフト サポート技術情報の記事2862966を参照してください
  • Microsoft は、サポートされているすべてのエディションの Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、および Windows RT の更新プログラム (2862973) をリリースしました。 現時点では、更新プログラムは、Windows RT を除く影響を受けるすべてのソフトウェアのダウンロード センターと Microsoft Update カタログからのみ使用できます。 この更新プログラムでは、MD5 ハッシュでの証明書の使用が制限されます。 詳細については、「Microsoft セキュリティ アドバイザリ 2862973」を参照してください2862966更新プログラムは、この更新プログラムの前提条件です。

2013 年 6 月 11 日にリリースされた更新プログラム:

  • Microsoft は、サポートされているすべてのエディションの Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows RT の更新プログラム (2813430) をリリースしました。 この更新プログラムは、Windows RT を除く影響を受けるすべてのソフトウェアのダウンロード センターと Microsoft Update カタログで入手できます。 また、自動更新と Microsoft Update サービスを通じて提供されます。 Windows RT の更新プログラムは、Windows Update から入手できます。 この更新プログラムを使用すると、管理者は Windows Update サイトにアクセスしなくても、信頼された CCTL と許可されていない CCTL を更新できます。 詳細については、マイクロソフト サポート技術情報の記事2813430を参照してください

よく寄せられる質問

証明書信頼リスト (CTL) とは
署名されたメッセージの受信者とメッセージの署名者の間に信頼が存在する必要があります。 この信頼を確立する方法の 1 つは、証明書を通じて、エンティティまたは個人が誰であるかを検証する電子ドキュメントです。 証明書は、両方の当事者によって信頼されているサード パーティによってエンティティに発行されます。 そのため、署名済みメッセージの各受信者は、署名者の証明書の発行者が信頼できるかどうかを決定します。 CryptoAPI には、アプリケーション開発者が、信頼できる証明書またはルートの定義済みの一覧に対して証明書を自動的に検証するアプリケーションを作成できるようにする手法が実装されています。 この信頼されたエンティティの一覧 (サブジェクトと呼ばれます) は、証明書信頼リスト (CTL) と呼ばれます。 詳細については、MSDN の記事 「証明書の信頼の検証」を参照してください。

デジタル証明書とは
公開キー暗号化では、秘密キーと呼ばれるいずれかのキーを秘密にしておく必要があります。 公開キーと呼ばれるもう 1 つのキーは、世界と共有することを目的としています。 ただし、キーの所有者がキーが属するユーザーを世界に伝える方法が必要です。 デジタル証明書 は、これを行う方法を提供します。 デジタル証明書は、個人、組織、およびコンピューターのオンライン ID を認定するために使用される電子資格情報です。 デジタル証明書には、公開キーに関する情報 (誰が所有するか、何に使用できるか、期限切れになったときなど) と共にパッケージ化された公開キーが含まれています。

デジタル証明書の目的は何ですか?
デジタル証明書は、主に個人またはデバイスの ID の検証、サービスの認証、またはファイルの暗号化に使用されます。 通常、証明書についてまったく考慮する必要はありません。 ただし、証明書の有効期限が切れているか無効であることを示すメッセージが表示されることがあります。 このような場合は、メッセージの指示に従う必要があります。

証明機関 (CA) とは
証明機関は、証明書を発行する組織です。 ユーザーまたは他の証明機関に属する公開キーの信頼性を確立して検証し、証明書を要求する個人または組織の ID を確認します。

その他の情報

フィードバック

  • Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。

サポート

  • 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポート受けることができます。 使用可能なサポート オプションの詳細については、Microsoft のヘルプとサポートを参照してください
  • 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 国際サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポートを参照してください
  • Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責情報

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン

  • V1.0 (2013 年 6 月 11 日): アドバイザリが公開されました。
  • V1.1 (2013 年 8 月 13 日): [使用可能な更新とリリース ノート] セクションに2862966と2862973の更新プログラムを追加しました。
  • V1.2 (2013 年 8 月 27 日): 2862973更新プログラムが Microsoft Update カタログから入手できるようになったことをお知らせするために、アドバイザリを改訂しました。
  • V1.3 (2013 年 11 月 12 日): [使用可能な更新とリリース ノート] セクションに、2868725の更新とルート証明書ポリシーのお知らせを追加しました。

ビルド日: 2014-04-18T13:49:36Z-07:00