Microsoft セキュリティ アドバイザリ 2949927

公開日: 2014 年 10 月 14 日 |更新日: 2014 年 10 月 17 日

バージョン: 2.0

Microsoft は、SHA-2 署名と検証機能のサポートを追加するために、サポートされているすべてのエディションの Windows 7 および Windows Server 2008 R2 の更新プログラムの提供を発表しています。 WINDOWS 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1 では、SHA-2 署名と検証機能が既にこれらのオペレーティング システムに含まれているので、この更新プログラムは必要ありません。 この更新プログラムは、Windows Server 2003、Windows Vista、または Windows Server 2008 では使用できません。

推奨。 自動更新を有効にして、Microsoft Update から更新プログラムをオンラインでチェックするように構成されているお客様は、通常、このセキュリティ更新プログラムが自動的にダウンロードおよびインストールされるため、何も行う必要はありません。 自動更新を有効にしていないお客様は、更新プログラムをチェックし、この更新プログラムを手動でインストールする必要があります。 自動更新の特定の構成オプションについては、マイクロソフト サポート技術情報の記事294871を参照してください。

管理者と企業のインストール、またはこのセキュリティ更新プログラムを手動でインストールするエンド ユーザー (自動更新を有効にしていないお客様を含む) の場合は、更新管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックして更新プログラムを適用することをお勧めします。 更新プログラムは、このアドバイザリの影響を受けるソフトウェアテーブルのダウンロード リンクからも入手できます。

この問題の詳細については、次のリファレンスを参照してください。

このアドバイザリでは、次のソフトウェアについて説明します。

影響を受けるソフトウェア

アドバイザリの範囲は何ですか?
このアドバイザリの目的は、サポートされているすべてのエディションの Windows 7 および Windows Server 2008 R2 に SHA-2 ハッシュ アルゴリズムの機能を追加する更新プログラムをお客様に通知することです。

これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ですか?
いいえ。 SHA-1 に代わる署名メカニズムはしばらくの間使用でき、署名の目的でハッシュ アルゴリズムとして SHA-1 を使用することは推奨されておらず、ベスト プラクティスではなくなりました。 Microsoft では、代わりに SHA-2 ハッシュ アルゴリズムを使用することをお勧めします。この更新プログラムをリリースして、お客様がより安全な SHA-2 ハッシュ アルゴリズムにデジタル証明書キーを移行できるようにします。

SHA-1 ハッシュ アルゴリズムの問題の原因は何ですか?
この問題の根本原因は、SHA-1 ハッシュ アルゴリズムの既知の弱点であり、衝突攻撃にさらされています。 このような攻撃により、攻撃者は元の証明書と同じデジタル署名を持つ追加の証明書を生成する可能性があります。 これらの問題はよく理解されており、これらの攻撃に対する抵抗を必要とする特定の目的で SHA-1 証明書を使用することはお勧めしません。 Microsoft では、セキュリティ開発ライフサイクルでは、Microsoft ソフトウェアの既定の機能として SHA-1 ハッシュ アルゴリズムを使用しなくなりました。 詳細については、 Microsoft セキュリティ アドバイザリ 2880823 と Windows PKI ブログ エントリ 「SHA1 Deprecation Policy」を参照してください。

更新プログラムは何を行いますか?
この更新プログラムは、影響を受けるオペレーティング システムに SHA-2 ハッシュ アルゴリズムの署名と検証のサポートを追加します。これには、次のものが含まれます。

• キャビネット ファイルでの複数の署名の サポート
• Windows PE ファイルの複数の署名の サポート
• 複数のデジタル署名の表示を有効にする UI の変更
• カーネル内の署名を検証するコード整合性コンポーネントにRFC3161タイムスタンプを検証する機能
• CertIsStrongHashToSign、CryptCAT管理AcquireContext2、CryptCAT管理CalcHashFromFileHandle2 など、さまざまな API のサポート

セキュア ハッシュ アルゴリズム (SHA-1) とは
セキュア ハッシュ アルゴリズム (SHA) は、デジタル署名アルゴリズム (DSA) またはデジタル署名標準 (DSS) で使用するために開発され、160 ビットのハッシュ値を生成します。 SHA-1 には、衝突攻撃にさらされる既知の弱点があります。 このような攻撃により、攻撃者は元の証明書と同じデジタル署名を持つ追加の証明書を生成する可能性があります。 SHA-1 の詳細については、「ハッシュアルゴリズムと署名アルゴリズム」を参照してください。

RFC3161とは
RFC3161は、タイム スタンプ機関 (TSA) に対する要求と応答の形式を記述するインターネット X.509 公開キー 基盤タイム スタンプ プロトコル (TSP) を定義します。 TSA は、公開キー証明書の有効期間中にデジタル署名が生成されたことを証明するために使用できます。X.509 公開キー インフラストラクチャを参照してください。

デジタル証明書とは
公開キー暗号化では、秘密キーと呼ばれるいずれかのキーを秘密にしておく必要があります。 公開キーと呼ばれるもう 1 つのキーは、世界と共有することを目的としています。 ただし、キーの所有者が、キーが属するユーザーを世界に伝える方法が必要です。 デジタル証明書は、これを行う方法を提供します。 デジタル証明書は、個人、組織、およびコンピューターのオンライン ID を認定するために使用される電子資格情報です。 デジタル証明書には、公開キーとその情報 (だれが所有するか、何に使用できるか、期限切れになったときなど) と共にパッケージ化された公開キーが含まれています。 詳細については、「公開キー暗号化とデジタル証明書について」を参照してください。

デジタル証明書の目的は何ですか?
デジタル証明書は、主に個人またはデバイスの ID の検証、サービスの認証、またはファイルの暗号化に使用されます。 通常、証明書の有効期限が切れているか無効であることを示す不定期のメッセージを除いて、証明書についてまったく考慮する必要はありません。 このような場合は、メッセージに記載されている手順に従う必要があります。

• Microsoft Windows のサポートされているリリースの更新プログラムを適用する

  ほとんどのお客様は自動更新を有効にしており、更新プログラムが自動的にダウンロードされてインストールされるため、何も行う必要はありません。 自動更新を有効にしていないお客様は、更新プログラムをチェックし、この更新プログラムを手動でインストールする必要があります。 自動更新の特定の構成オプションについては、マイクロソフト サポート技術情報の記事294871を参照してください。

  管理者と企業のインストール、またはこのセキュリティ更新プログラムを手動でインストールするエンド ユーザー (自動更新を有効にしていないお客様を含む) の場合は、更新管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックして更新プログラムを適用することをお勧めします。 更新プログラムは、このアドバイザリの影響を受けるソフトウェアテーブルのダウンロード リンクからも入手できます。

• PC を保護する

  ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 詳細については、「Microsoft セーフty & Security Center」を参照してください。

• Microsoft ソフトウェアを最新の状態に保つ

  Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新を有効にして、Microsoft 製品の更新プログラムを提供するように構成している場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。

お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトを参照してください。

• Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。

• 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください。
• 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
• Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

• V1.0 (2014 年 10 月 14 日): アドバイザリが公開されました。
• V2.0 (2014 年 10 月 17 日): Microsoft セキュリティ更新プログラム 2949927のダウンロード センター リンクが削除されました。 問題が発生しているお客様は、この更新プログラムを アンインストール することをお勧めします。 Microsoft は、この更新プログラムに関連する動作を調査しており、詳細情報が利用可能になったときにアドバイザリを更新します。

Page generated 2014-10-17 10:44Z-07:00.