マイクロソフト セキュリティ アドバイザリ 2916652

不適切に発行されたデジタル証明書により、なりすましが行われる

公開日: 2013年12月10日 | 最終更新日: 2014年1月16日

バージョン: 2.1

概説

概要

マイクロソフトは、下位の証明機関 (CA) から、コンテンツのなりすまし、フィッシング攻撃の実行、または中間者攻撃に使用できる証明書が不適切に発行されていることを確認しています。この証明書は、フランスの政府系認証局 (ANSSI) 傘下にあり、信頼済みのルート証明機関ストアに含まれる CA である国庫・経済政策総局 (DG Trésor) により不適切に発行されたものです。この問題は、すべてのサポートされているリリースの Microsoft Windows に影響を及ぼします。マイクロソフトは現在、この問題に関連した攻撃を確認していません。

下位の証明機関により不適切に発行されたこの証明書は、Google Web プロパティを含む複数のサイトに SSL 証明書を発行する目的に悪用されています。このような SSL 証明書は、コンテンツのなりすまし、フィッシング攻撃の実行、または複数の Google Web プロパティに対する中間者攻撃の実行に悪用される可能性があります。下位の証明機関が発行したこの証明書が、現在未判明のその他のサイトに対する証明書を発行するために使われ、これが同様の攻撃を引き起こす可能性もあります。

このデジタル証明書の悪用からお客様を保護するために、マイクロソフトは、サポートされているすべてのリリースの Microsoft Windows に使用される証明書信頼リスト (CTL) を更新しています。これにより、この問題の原因となっている証明書の信頼性が失われます。これらの証明書に関する詳細については、このアドバイザリの「よく寄せられる質問」のセクションを参照してください。

推奨する対応策: 失効した証明書の自動更新ツールは、Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2 のサポートされているエディション、および Windows Phone 8 を実行しているデバイスに搭載されています。これらのオペレーティング システムやデバイスは自動的に保護されますので、お客様は特に対策を行う必要はありません。

Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 を実行しており、失効した証明書の自動更新ツールを使用しているシステム (詳細についてはサポート技術情報 2677070 を参照) は自動的に保護されますので、お客様は特に対策を行う必要はありません。

Windows XP または Windows Server 2003 を使用しているお客様、または失効した証明書の自動更新ツールをインストールしていないお客様の場合、マイクロソフトは更新プログラム管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムを確認するか、手動で更新プログラムをダウンロードして適用することにより、更新プログラム 2917500 を即座に適用することをお客様にお勧めします。詳細情報は、このセキュリティ アドバイザリの「推奨するアクション」の欄を参照してください。

アドバイザリの詳細

問題に関する参照情報

この問題に関する詳細情報は、次の参照情報をご確認ください。

参照情報ID
マイクロソフト サポート技術情報 2917500

影響を受けるソフトウェア

このアドバイザリは次のソフトウェアについて説明しています。

影響を受けるソフトウェア
オペレーティング システム
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Windows 8 for 32-bit Systems
Windows 8 for x64-based Systems
Windows 8.1 for 32-bit Systems
Windows 8.1 for x64-based Systems
Windows RT
Windows RT 8.1
Windows Server 2012
Windows Server 2012 R2
Server Core インストール オプション
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core インストール)
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core インストール)
Windows Server 2008 R2 for x64-based Systems (Server Core インストール)
Windows Server 2012 (Server Core インストール)
Windows Server 2012 R2 (Server Core インストール)
影響を受けるデバイス
Windows Phone 8

このアドバイザリの目的は何ですか? 
このアドバイザリの目的は、DG Trésor が下位証明機関による証明書を不適切に発行し、それが悪用されて Google Web プロパティを含む複数のサイトに SSL 証明書が発行されていることをお客様にお知らせすることです。このような SSL 証明書は、コンテンツのなりすまし、フィッシング攻撃の実行、または複数の Google Web プロパティに対する中間者攻撃の実行に悪用される可能性があります。下位の証明機関が発行したこの証明書が、現在未判明のその他のサイトに対する証明書を発行するために使われ、これが同様の攻撃を引き起こす可能性もあります。

この問題の原因は何ですか? 
下位証明機関による証明書が、フランスの政府系認証局 (ANSSI) 傘下にあり、信頼済みのルート証明機関ストアに含まれる CA である国庫・経済政策総局 (DG Trésor) により不適切に発行されたことが原因です。

この更新プログラムはその他のデジタル証明書にも対応していますか?  
はい。このアドバイザリで説明している証明書に加え、この更新プログラムは累積的なもので、以前のアドバイザリで説明しているデジタル証明書にも対応しています:

暗号化とは何ですか? 
暗号化とは、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号文として知られています) 間で情報を変換することにより、情報を保護する技術です。

すべての暗号化の形式で、プレーンテキスト データを暗号文に変換するために、暗号アルゴリズムと呼ばれるプロシージャと共に、キーと呼ばれる値が使用されます。最もよく知られた暗号化の種類は、秘密キーの暗号化で、暗号文が同じキーを使用してプレーンテキストに復号化されます。しかし、別の種類の暗号化である公開キーの暗号化では、暗号化テキストをプレーンテキストに復号化するために異なるキーが使用されます。

デジタル証明書とは何ですか?  
公開鍵暗号では、キーの 1 つである秘密キーと呼ばれるキーは秘密にされている必要があります。公開キーと呼ばれているもう 1 つのキーは世界で共有されることが意図されています。しかし、キーの所有者がキーが誰に属しているかを公に知らせる方法が必要になります。デジタル証明書はこれを実行する方法を提供します。デジタル証明書は改ざんができないデータの一部で、公開キーと、公開キーについての情報 (所有者情報、使用用途、有効期限、その他の関連情報) を含みます。

証明書が使用される目的は何ですか? 
証明書は主に人物またはデバイスの身元の確認、サービスの認証、またはファイルの暗号化に使用されます。通常、証明書について何も考える必要はありません。しかし、証明書の有効期限が切れている、または無効であることを示すメッセージが表示されることがあります。このような場合、メッセージの説明に従ってください。

証明機関 (CA) とは何ですか?  
証明機関とは、証明書を発行する組織のことです。証明機関は、人物またはその他の証明機関に属す公開キーの信頼性を確立し、検証します。また、証明書を要求する人物または組織の身元を確認します。

証明書信頼リスト (CTL) とは何ですか?  
信頼は署名されたメッセージの受信者とメッセージの署名者の間で存在しなければなりません。この信頼を確立するための 1 つの方法は、その機関や人物が本物かどうかを確認するための電子ドキュメントである、証明書を通して行うことです。各証明書は、両者によって信頼された第三者機関によって各機関に発行されます。そして、署名されたメッセージの各受信者は、署名者の証明書の発行元が信頼できるかどうかを決定します。CryptoAPI は、アプリケーション開発者が信頼された証明書やルートの所定のリストに対して自動的に証明書を認証するアプリケーションを作成する手法を実装しました。この信頼された機関 (いわゆる subject) のリストは、証明書信頼リスト (CTL) と呼ばれています。詳細情報は、MSDN ライブラリ Certificate Trust Verification (英語情報) を参照してください。

これらの証明書により、攻撃者は何を行う可能性がありますか? 
攻撃者はこれらの証明書を悪用し、コンテンツのなりすまし、フィッシング攻撃の実行、または次の Web プロパティに対して中間者攻撃を行う可能性があります。

  • *.google.com
  • *.android.com
  • *.appengine.google.com
  • *.cloud.google.com
  • *.google-analytics.com
  • *.google.ca
  • *.google.cl
  • *.google.co.in
  • *.google.co.jp
  • *.google.co.uk
  • *.google.com.ar
  • *.google.com.au
  • *.google.com.br
  • *.google.com.co
  • *.google.com.mx
  • *.google.com.tr
  • *.google.com.vn
  • *.google.de
  • *.google.es
  • *.google.fr
  • *.google.hu
  • *.google.it
  • *.google.nl
  • *.google.pl
  • *.google.pt
  • *.googleapis.cn
  • *.googlecommerce.com
  • *.gstatic.com
  • *.urchin.com
  • *.url.google.com
  • *.youtube-nocookie.com
  • *.youtube.com
  • *.ytimg.com
  • android.com
  • g.co
  • goo.gl
  • google-analytics.com
  • google.com
  • googlecommerce.com
  • urchin.com
  • youtu.be
  • youtube.com

中間者攻撃とは何ですか?  
中間者攻撃は、通信中の双方のユーザーに気付くことなく、攻撃者のコンピューターで双方のユーザー間の通信が経路変更された際に発生する攻撃です。通信中の双方のユーザーは、意図した受信者とのみ通信中であると思い、気付かないまま攻撃者とトラフィックの送受信を行います。

マイクロソフトはこの問題解決の手助けを行うために何をしていますか?  
これは、マイクロソフト製品の問題により生じた問題ではありませんが、マイクロソフトは CTL を更新し、お客様を保護するために更新プログラムを提供しています。マイクロソフトは、引き続きこの問題について調査し、将来的に CTL を変更するか、お客様を保護する手助けとなる更新プログラムをリリースする予定です。

更新プログラムを適用した後、マイクロソフトの信頼されていない証明書ストア内の証明書をどのように確認することができますか?  
失効した証明書の自動更新ツールを使用している Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 システム (詳細についてはサポート技術情報 2677070 を参照)、および Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2 システムの場合は、イベント ビューアーのアプリケーション ログから、次の値を持つエントリを確認できます。

  • ソース: CAPI2
  • レベル: 情報
  • イベント ID: 4112
  • 説明:許可されない証明書リストの自動更新に成功しました。有効期限: 2013 年 12 月 9 日月曜日 (またはそれ以降)。

失効した証明書の自動更新ツールを使用していないシステムの場合は、証明書 MMC スナップインで、次の証明書が、信頼されていない証明書フォルダーに追加されていることを確認してください。

証明書発行者拇印
AC DG Trésor SSL AC DGTPE Signature Authentification ‎5c e3 39 46 5f 41 a1 e4 23 14 9f 65 54 40 95 40 4d e6 eb e2

注: MMC スナップインで証明書を表示する方法については、MSDN ライブラリの「方法:MMC スナップインを使用して証明書を参照する」を参照してください。

サポートされているリリースの Microsoft Windows への更新プログラムの適用

失効した証明書の自動更新ツールは、Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2 のサポートされているエディション、および Windows Phone 8 を実行しているデバイスに搭載されています。これらのオペレーティング システムやデバイスでは CTL が自動的に更新されますので、お客様は特に対策を行う必要はありません。

Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 を実行しており、失効した証明書の自動更新ツールを使用しているシステム (詳細についてはサポート技術情報 2677070 を参照) では、CTL が自動的に更新されますので、お客様は特に対策を行う必要はありません。

Windows XP または Windows Server 2003 を使用しているお客様、または失効した証明書の自動更新ツールをインストールしていないお客様の場合、マイクロソフトは更新プログラム管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムを確認するか、手動で更新プログラムをダウンロードして適用することにより、更新プログラム 2917500 を即座に適用することをお客様にお勧めします。ダウンロード リンクについては、サポート技術情報 2917500 を参照してください。

追加の推奨されるアクション

  • コンピューターを守る

    マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。詳細については、Microsoft セーフティとセキュリティ センターを参照してください。

  • マイクロソフトのソフトウェアを最新の状態に保つ

    マイクロソフトのソフトウェアをお使いのお客様は、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、お使いのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、Microsoft Update で、利用可能な更新プログラムがあるかどうかに関してコンピューターをスキャンし、提供されている優先度の高い更新プログラムをインストールしてください。自動更新が有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。

関連情報

謝辞

この問題を連絡し、顧客の保護に協力してくださった下記の方に対し、マイクロソフトは深い謝意を表します。

  • マイクロソフトの注意を喚起するためにこの問題について報告し、協力してくださった Adam Langley 氏および Google Chrome Security Team

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。

フィードバック

サポート

  • セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • Microsoft TechNet セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2013/12/10):アドバイザリを公開しました。
  • V2.0 (2013/12/13):このアドバイザリを更新し、Windows XP または Windows Server 2003 を使用しているお客様、または失効した証明書の自動更新ツールをインストールしていないお客様向けに、更新プログラム 2917500 を提供していることをお知らせしました。更新プログラム 2917500 は、Microsoft Update サービスを通じて入手できるほか、ダウンロード センターからも入手できます。詳細情報は、このセキュリティ アドバイザリの「推奨するアクション」の欄を参照してください。
  • V2.1 (2014/01/16):このアドバイザリを更新し、更新プログラム 2917500 の検出を変更したことをお知らせしました。これは、検出のみの変更です。システムを正常に更新済みのお客様は、措置を講じる必要はありません。

Built at 2014-04-18T13:49:36Z-07:00

表示: