Microsoft セキュリティ アドバイザリ 2982792
不正に発行されたデジタル証明書によってスプーフィングが可能になる
公開日: 2014 年 7 月 10 日 |更新日: 2014 年 7 月 17 日
バージョン: 2.0
一般情報
概要
Microsoft は、コンテンツのなりすまし、フィッシング攻撃の実行、中間者攻撃の実行に使用される可能性がある不適切に発行された SSL 証明書を認識しています。 SSL 証明書は、信頼されたルート証明機関ストアに存在する CA であるインド認証機関 (CCA) の政府が運営するルート CA の下で下位 CA を運用するナショナル インフォマティクス センター (NIC) によって不適切に発行されました。 この問題は、Microsoft Windows でサポートされているすべてのリリースに影響します。 Microsoft は現在、この問題に関連する攻撃を認識していません。
下位 CA は、Google Web プロパティを含む複数のサイトに対して SSL 証明書を発行するために悪用されています。 これらの SSL 証明書は、コンテンツのスプーフィング、フィッシング攻撃の実行、Web プロパティに対する中間者攻撃の実行に使用できます。 下位 CA は、他の現在不明なサイトの証明書を発行するためにも使用されている可能性があり、同様の攻撃を受ける可能性があります。
このデジタル証明書が不正に使用される可能性から顧客を保護するために、Microsoft は、この問題の原因となっている証明書の信頼を削除するために、サポートされているすべてのリリースの Microsoft Windows の証明書信頼リスト (CTL) を更新しています。 これらの証明書の詳細については、このアドバイザリの 「よく寄せられる質問」セクションを 参照してください。
推奨。 失効した証明書の自動アップデーターは、サポートされているエディションの Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2、および Windows 電話 8 または Windows 電話 8.1 を実行しているデバイスに含まれています。 これらのオペレーティング システムまたはデバイスでは、CTL が自動的に更新されるため、ユーザーは何も行う必要はありません。
失効した証明書の自動アップデーターを使用している Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 を実行しているシステムの場合 (詳細については、Microsoft サポート技術情報の記事2677070を参照)、CTL が自動的に更新されるため、ユーザーは何も行う必要はありません。
Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 を実行していて、失効した証明書の自動アップデーターがインストールされていないシステムの場合、この更新プログラムは使用できません。 この更新プログラムを受信するには、失効した証明書の自動更新プログラムをインストールする必要があります (詳細については、Microsoft サポート技術情報の記事2677070を参照してください)。 切断された環境で、Windows Vista、Windows 7、Windows 8、Windows Server 2008、Windows Server 2008 R2、または Windows Server 2012 を実行しているお客様は、更新プログラム2813430をインストールしてこの更新プログラムを受け取ることができます (詳細については、マイクロソフト サポート技術情報の記事2813430を参照してください)。
Windows Server 2003 を実行しているお客様は、更新プログラム管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックするか、更新プログラムを手動でダウンロードして適用することで、2982792更新プログラムを直ちに適用することをお勧めします。 詳細については、このアドバイザリの 「推奨されるアクション」 セクションを参照してください。
アドバイザリの詳細
問題のリファレンス
この問題の詳細については、次のリファレンスを参照してください。
| 参考文献 | [識別] |
|---|---|
| Microsoft サポート技術情報の記事 | 2982792 |
影響を受けるソフトウェア
このアドバイザリでは、次のソフトウェアについて説明します。
| 影響を受けるソフトウェア |
|---|
| オペレーティング システム |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Itanium ベースのシステム用 Windows Server 2003 SP2 |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 for 32 ビット システム Service Pack 2 |
| x64 ベースシステム Service Pack 2 用 Windows Server 2008 |
| Windows Server 2008 for Itanium ベースのシステム Service Pack 2 |
| Windows 7 for 32 ビット システム Service Pack 1 |
| Windows 7 for x64 ベースのシステム Service Pack 1 |
| x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 |
| Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1 |
| Windows 8 for 32 ビット システム |
| Windows 8 for x64 ベースのシステム |
| 32 ビット システム用 Windows 8.1 |
| x64 ベースシステム用 Windows 8.1 |
| Windows RT |
| Windows RT 8.1 |
| Windows Server 2012 |
| Windows Server 2012 R2 |
| Server Core のインストール オプション |
| Windows Server 2008 for 32 ビット システム Service Pack 2 (Server Core インストール) |
| x64 ベースシステム Service Pack 2 用 Windows Server 2008 (Server Core インストール) |
| x64 ベース システム用 Windows Server 2008 R2 (Server Core インストール) |
| Windows Server 2012 (Server Core のインストール) |
| Windows Server 2012 R2 (Server Core のインストール) |
| 影響を受けるデバイス |
| Windows Phone 8 |
| Windows Phone 8.1 |
アドバイザリに関する FAQ
2014 年 7 月 17 日にこのアドバイザリが更新された理由
このアドバイザリは、2014 年 7 月 17 日に更新され、Windows Server 2003 のサポートされているエディションの更新プログラムの2982792の可用性を発表しました。 詳細については、このアドバイザリの 「推奨されるアクション」 セクションを参照してください。
アドバイザリの範囲は何ですか?
このアドバイザリの目的は、National Informatics Centre (NIC) が Google Web プロパティを含む複数のサイトに対して SSL 証明書を不適切に発行したことをお客様に通知することです。 これらの SSL 証明書は、コンテンツのスプーフィング、フィッシング攻撃の実行、Web プロパティに対する中間者攻撃の実行に使用できます。 下位 CA は、他の現在不明なサイトの証明書を発行するためにも使用されている可能性があり、同様の攻撃を受ける可能性があります。
問題の原因は何ですか?
下位 CA 証明書は、信頼されたルート証明機関ストアに存在する CA であるインド CA の政府に従属する、ナショナル インフォマティクス センター (NIC) によって不適切に発行されました。
この更新プログラムは、他のデジタル証明書に対処しますか?
はい。このアドバイザリで説明した証明書に対処するだけでなく、この更新プログラムは累積的であり、前のアドバイザリで説明したデジタル証明書が含まれています。
- Microsoft セキュリティ アドバイザリ 2524375
- Microsoft セキュリティ アドバイザリ 2607712
- Microsoft セキュリティ アドバイザリ 2641690
- Microsoft セキュリティ アドバイザリ 2718704
- Microsoft セキュリティ アドバイザリ 2728973
- Microsoft セキュリティ アドバイザリ 2798897
- Microsoft セキュリティ アドバイザリ 2961552
暗号化とは
暗号化は、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号テキストと呼ばれます) の間で変換することによって、情報をセキュリティで保護する科学です。
あらゆる形式の暗号化では、キーと呼ばれる値が暗号化アルゴリズムと呼ばれるプロシージャと組み合わせて使用され、プレーンテキスト データを暗号テキストに変換します。 最も使い慣れた種類の暗号化である秘密鍵暗号化では、暗号テキストは同じキーを使用してプレーンテキストに変換されます。 ただし、2 番目の種類の暗号化である公開キー暗号化では、暗号化テキストをプレーンテキストに変換するために別のキーが使用されます。
デジタル証明書とは
公開キー暗号化では、秘密キーと呼ばれるいずれかのキーを秘密にしておく必要があります。 公開キーと呼ばれるもう 1 つのキーは、世界と共有することを目的としています。 ただし、キーの所有者がキーが属するユーザーを世界に伝える方法が必要です。 デジタル証明書は、これを行う方法を提供します。 デジタル証明書は、公開キーとその情報 (誰が所有するか、何に使用できるか、有効期限が切れたときなど) と共にパッケージ化する改ざん防止データです。
証明書の用途
証明書は主に、個人またはデバイスの ID の確認、サービスの認証、またはファイルの暗号化に使用されます。 通常、証明書についてまったく考慮する必要はありません。 ただし、証明書の有効期限が切れているか無効であることを示すメッセージが表示されることがあります。 このような場合は、メッセージの指示に従う必要があります。
証明機関 (CA) とは
証明機関は、証明書を発行する組織です。 ユーザーまたは他の証明機関に属する公開キーの信頼性を確立して検証し、証明書を要求する個人または組織の ID を確認します。
証明書信頼リスト (CTL) とは
署名されたメッセージの受信者とメッセージの署名者の間に信頼が存在する必要があります。 この信頼を確立する方法の 1 つは、証明書を通じて、エンティティまたは個人が誰であるかを検証する電子ドキュメントです。 証明書は、両方の当事者によって信頼されているサード パーティによってエンティティに発行されます。 そのため、署名済みメッセージの各受信者は、署名者の証明書の発行者が信頼できるかどうかを決定します。 CryptoAPI には、アプリケーション開発者が、信頼できる証明書またはルートの定義済みの一覧に対して証明書を自動的に検証するアプリケーションを作成できるようにする手法が実装されています。 この信頼されたエンティティの一覧 (サブジェクトと呼ばれます) は、証明書信頼リスト (CTL) と呼ばれます。 詳細については、MSDN の記事 「証明書の信頼の検証」を参照してください。
攻撃者はこれらの証明書に対して何を行う可能性がありますか?
攻撃者は、これらの証明書を使用して、コンテンツのなりすまし、フィッシング攻撃の実行、または次の Web プロパティに対する中間者攻撃を実行する可能性があります。
- google.com
- mail.google.com
- gmail.com
- www.gmail.com
- m.gmail.com
- smtp.gmail.com
- pop.gmail.com
- imap.gmail.com
- googlemail.com
- www.googlemail.com
- smtp.googlemail.com
- pop.googlemail.com
- imap.googlemail.com
- gstatic.com
- ssl.gstatic.com
- www.static.com
- encrypted-tbn1.gstatic.com
- encrypted-tbn2.gstatic.com
- login.yahoo.com
- mail.yahoo.com
- mail.yahoo-inc.com
- fb.member.yahoo.com
- login.korea.yahoo.com
- api.reg.yahoo.com
- edit.yahoo.com
- watchlist.yahoo.com
- edit.india.yahoo.com
- edit.korea.yahoo.com
- edit.europe.yahoo.com
- edit.singapore.yahoo.com
- edit.tpe.yahoo.com
- legalredirect.yahoo.com
- me.yahoo.com
- open.login.yahooapis.com
- subscribe.yahoo.com
- edit.secure.yahoo.com
- edit.client.yahoo.com
- bt.edit.client.yahoo.com
- verizon.edit.client.yahoo.com
- na.edit.client.yahoo.com
- au.api.reg.yahoo.com
- au.reg.yahoo.com
- profile.yahoo.com
- static.profile.yahoo.com
- openid.yahoo.com
中間者攻撃とは
中間者攻撃は、攻撃者が 2 人のユーザーの情報を知らずに、攻撃者のコンピューターを介して 2 人のユーザー間の通信を再ルーティングするときに発生します。 通信の各ユーザーは、意図したユーザーとだけ通信していると考えながら、知らず知らずのうちに攻撃者との間でトラフィックを送受信します。
この問題の解決に役立つ Microsoft の取り組み
この問題は Microsoft 製品の問題によるものではありませんが、CTL を更新し、お客様を保護するための更新プログラムを提供しています。 Microsoft は引き続きこの問題を調査し、CTL に今後変更を加えたり、お客様を保護するために将来の更新プログラムをリリースしたりする可能性があります。
更新プログラムを適用した後、Microsoft 信頼されていない証明書ストアの証明書を確認するにはどうすればよいですか?
Windows Vista、Windows 7、Windows Server 2008、 失効した証明書の自動アップデーターを使用している Windows Server 2008 R2 システム (詳細については、Microsoft サポート技術情報の記事の2677070を参照)、Windows 8、Windows 8.1、Windows RT 8.1、Windows Server 2012、および Windows Server 2012 R2 システムでは、次の値を持つエントリについて、イベント ビューアーのアプリケーション ログをチェックできます。
- ソース: CAPI2
- レベル: Information
- イベント ID: 4112
- 説明: 2014 年 7 月 3 日木曜日 (またはそれ以降) に、許可されていない証明書リストの自動更新に成功しました。
失効した証明書の自動アップデーターを使用していないシステムの場合は、証明書 MMC スナップインで、次の証明書が信頼されていない証明書フォルダーに追加されていることを確認します。
| [証明書] | 発行者 | 拇印 |
|---|---|---|
| NIC 認定機関 | CCA India 2007 | 48 22 82 4e ce 7e d1 45 0c 03 9a a0 77 dc 1f 8a e3 48 9b bf |
| NIC CA 2011 | CCA India 2011 | c6 79 64 90 cd ee aa b3 1a ed 79 87 52 ec d0 03 e6 86 6c b2 |
| NIC CA 2014 | CCA India 2014 | d2 db f7 18 23 b2 b8 e7 8f 59 58 09 61 50 bf cb 97 cc 38 8a |
注 : MMC スナップインで証明書を表示する方法については、MSDN の記事 「方法: MMC スナップインで証明書を表示する」を参照してください。
推奨されるアクション
Microsoft Windows のサポートされているリリースの更新プログラムを適用する
失効した証明書の自動アップデーターは、サポートされているエディションの Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2、および Windows 電話 8 または Windows 電話 8.1 を実行しているデバイスに含まれています。 これらのオペレーティング システムまたはデバイスでは、CTL が自動的に更新されるため、ユーザーは何も行う必要はありません。
失効した証明書の自動アップデーターを使用している Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 を実行しているシステムの場合 (詳細については、Microsoft サポート技術情報の記事2677070を参照)、CTL が自動的に更新されるため、ユーザーは何も行う必要はありません。
Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 を実行していて、失効した証明書の自動アップデーターがインストールされていないシステムの場合、この更新プログラムは使用できません。 この更新プログラムを受信するには、失効した証明書の自動更新プログラムをインストールする必要があります (詳細については、Microsoft サポート技術情報の記事2677070を参照してください)。 切断された環境で、Windows Vista、Windows 7、Windows 8、Windows Server 2008、Windows Server 2008 R2、または Windows Server 2012 を実行しているお客様は、更新プログラム2813430をインストールしてこの更新プログラムを受け取ることができます (詳細については、マイクロソフト サポート技術情報の記事2813430を参照してください)。
Windows Server 2003 を実行しているお客様は、更新プログラム管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックするか、更新プログラムを手動でダウンロードして適用することで、2982792更新プログラムを直ちに適用することをお勧めします。 ダウンロード リンクについては、Microsoft サポート技術情報の記事2982792を参照してください。
その他の推奨されるアクション
PC を保護する
ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 詳細については、「Microsoft セーフty & Security Center」を参照してください。
Microsoft ソフトウェアを最新の状態に保つ
Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新を有効にして、Microsoft 製品の更新プログラムを提供するように構成している場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。
謝辞
Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。
- Adam Langley と Google Chrome セキュリティ チームは、インシデントを当社の注意に導き、対応に関する作業を行います
その他の情報
Microsoft Active Protections Program (MAPP)
お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトを参照してください。
フィードバック
- Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。
サポート
- 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
- Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。
免責情報
このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
- V1.0 (2014 年 7 月 10 日): アドバイザリが公開されました。
- V2.0 (2014 年 7 月 17 日): サポートされているエディションの Windows Server 2003 の更新プログラムの2982792の可用性を発表するアドバイザリが改訂されました。 詳細については、このアドバイザリの 「推奨されるアクション」 セクションを参照してください。
Page generated 2014-07-31 13:34Z-07:00.