マイクロソフト セキュリティ アドバイザリ 2880823

マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止

公開日: 2013 年 11 月 13 日 | 最終更新日: 2016年 5 月 19 日

バージョン: 2.0

概説

概要

マイクロソフトは、マイクロソフト ルート証明書プログラムのポリシーを変更したことをお知らせします。新しいポリシーでは、2016 年 1 月 1 日以降、ルート証明機関は SSL とコード 署名の目的で、SHA-1 ハッシュ アルゴリズムを使って X.509 証明書を発行できなくなります。デジタル証明書で SHA-1 ハッシュ アルゴリズムを使用すると、攻撃者はコンテンツのなりすまし、フィッシング攻撃の実行、または中間者攻撃を実行することができます。

推奨する対応策: マイクロソフトは、証明機関が SHA-1 ハッシュ アルゴリズムを使って新しく生成された証明書に署名せずに、SHA-2 に移行することを推奨します。また、お客様ができるだけ早い機会に SHA-1 証明書を SHA-2 証明書に置き換えることを推奨します。詳細については、Windows Enforcement of Authenticode Code Signing and Timestamping (英語情報) を参照してください。

問題に関する参照情報

この問題に関する詳細情報は、次の参照情報をご確認ください。

概説

Windows Enforcement of Authenticode Code Signing and Timestamping (英語情報)

追加の推奨されるアクション

  • コンピューターを守る

    マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。詳細については、Microsoft セーフティとセキュリティ センターを参照してください。

  • マイクロソフトのソフトウェアを最新の状態に保つ

    マイクロソフトのソフトウェアを使用しているユーザーは、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、ユーザーのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合は、Microsoft Update にアクセスし、コンピューターをスキャンして利用可能な更新プログラムがあるかどうかを調べ、提示される優先度の高い更新プログラムをインストールしてください。自動更新が有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。

フィードバック

サポート

  • セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • Microsoft TechNet セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2013/11/13): このアドバイザリを公開しました。
  • V2.0 (2016/05/19): このアドバイザリを更新し、SSL とコード 署名を目的とした SHA-1 ハッシュ アルゴリズム の使用に関する最新情報へのリンクをお知らせしました。詳細については、Windows Enforcement of Authenticode Code Signing and Timestamping (英語情報) を参照してください。

Page generated 2016-05-18 10:03-07:00.
表示: