マイクロソフト セキュリティ アドバイザリ 3046310

不適切に発行されたデジタル証明書により、なりすましが行われる

公開日: 2015 年 3 月 17 日 | 更新日: 2015 年 3 月 20 日

バージョン: 1.0

マイクロソフトは、コンテンツのなりすまし、フィッシング詐欺の実行、あるいは中間者攻撃に使用される可能性のある、ドメイン「live.fi」用に不適切に発行された SSL 証明書について確認しています。その他の証明書の発行、ドメインのなりすまし、またはサイン コードに使用されることはありません。この問題は、すべてのサポートされているリリースの Microsoft Windows に影響を及ぼします。マイクロソフトは現在、この問題に関連した攻撃を確認していません。

お客様を、デジタル証明書の不適切な使用から保護するために、発行元 CA は証明書を失効し、また、マイクロソフトは、すべてのサポートされているリリースの Microsoft Windows について、この問題を引き起こしている証明書信用を取り除くように、証明書信用リスト (CTL) を更新しています。これらの証明書に関する詳細については、このアドバイザリの「よく寄せられる質問」を参照してください。

推奨する対応策失効した証明書の自動更新ツールは、サポートされているエディションの Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、および Windows Server 2012 R2、およびWindows Phone 8 や Windows Phone 8.1 を稼働しているデバイスに内蔵されています。これらのオペレーティング システムおよびデバイスは、自動的に保護されるため、これらのシステムやデバイスに対してお客様は特に対策を行う必要はありません。

Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 を実行しており、失効した証明書の自動更新ツールを使用しているシステム (詳細についてはサポート技術情報 2677070 を参照) は自動的に保護されますので、お客様は特に対策を行う必要はありません。

Windows Server 2003 を稼働しているお客様、または失効した証明書の自動更新ツールのインストールを選択しなかったお客様については、マイクロソフトは、更新プログラム管理ソフトウェアを利用する、Microsoft Update を利用して更新プログラムを確認する、または更新プログラムを手動でダウンロードし、適用するなどして、サポート技術情報 3046310 をすぐに適用されることを推奨しています。詳細については、このアドバイザリの「推奨するアクション」を参照してください。

この問題に関する詳細情報は、次の参照情報をご確認ください。

参照情報

ID

マイクロソフト サポート技術情報

3046310

このアドバイザリは次のソフトウェアについて説明しています。

影響を受けるソフトウェア

オペレーティング システム

Windows Server 2003 Service Pack 2 (3 月 19 日 (米国時間) から利用可能)

Windows Server 2003 x64 Edition Service Pack 2 (3 月 19 日 (米国時間) から利用可能)

Windows Server 2003 with SP2 for Itanium-based Systems (3 月 19 日 (米国時間) から利用可能)

Windows Vista Service Pack 2

Windows Vista x64 Edition Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for Itanium-based Systems Service Pack 2

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

Windows 8 for 32-bit Systems

Windows 8 for x64-based Systems

Windows 8.1 for 32-bit Systems

Windows 8.1 for x64-based Systems

Windows RT

Windows RT 8.1

Windows Server 2012

Windows Server 2012 R2

Server Core インストール オプション

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core インストール)

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core インストール)

Windows Server 2008 R2 for x64-based Systems (Server Core インストール)

Windows Server 2012 (Server Core インストール)

Windows Server 2012 R2 (Server Core インストール)

影響を受けるデバイス

Windows Phone 8

Windows Phone 8.1

このアドバイザリの目的は何ですか?  
このアドバイザリの目的は SSL デジタル証明書が不適切に発行されたことをお知らせすることです。この SSL 証明書はコンテンツのなりすまし、フィッシング詐欺の実行、あるいは複数のマイクロソフト Web プロパティに対する中間者攻撃に使用される可能性があります。その他の証明書の発行、ドメインのなりすまし、またはサイン コードに使用されることはありません。

何が原因で起こりますか?  
live.fi ドメイン上の不適切に構成された、特権を持つ電子メール アカウントが原因で証明書が不適切に発行されます。電子メール アカウントは、特権のあるユーザー名を使用して live.fi ドメインに登録可能で、その後、ドメイン用に承認されていない証明書を申請するのに利用されました。

この更新プログラムはその他のデジタル証明書の問題も解決しますか? 
はい、このアドバイザリで説明されている証明書を解決するだけではなく、この更新プログラムは累積的なので以前のアドバイザリで説明されているデジタル証明書も含まれています。

暗号化とは何ですか? 
暗号化とは、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号文として知られています) 間で情報を変換することにより、情報を保護する技術です。

すべての暗号化の形式で、プレーンテキスト データを暗号文に変換するために、暗号アルゴリズムと呼ばれるプロシージャと共に、キーと呼ばれる値が使用されます。最もよく知られた暗号化の種類は、秘密キーの暗号化で、暗号文が同じキーを使用してプレーンテキストに復号化されます。しかし、別の種類の暗号化である公開キーの暗号化では、暗号化テキストをプレーンテキストに復号化するために異なるキーが使用されます。

デジタル証明書とは何ですか?  
公開鍵暗号では、キーの 1 つである秘密キーと呼ばれるキーは秘密にされている必要があります。公開キーと呼ばれているもう 1 つのキーは世界で共有されることが意図されています。しかし、キーの所有者が、キーが誰に属しているかを公に知らせる方法が必要になります。デジタル証明書はこれを実行する方法を提供します。デジタル証明書は改ざんができないデータの一部で、公開キーと、公開キーについての情報 (所有者情報、使用用途、有効期限、その他の関連情報) を含みます。

証明書が使用される目的は何ですか? 
証明書は主に人物またはデバイスの身元の確認、サービスの認証、またはファイルの暗号化に使用されます。通常、証明書について何も考える必要はありません。しかし、証明書の有効期限が切れている、または無効であることを示すメッセージが表示されることがあります。このような場合、メッセージの説明に従ってください。

証明書機関 (CA) とは何ですか?  
証明機関とは、証明書を発行する組織のことです。証明機関は、人物またはその他の証明機関に属する公開キーの信頼性を確立し、検証します。また、証明書を要求する人物または組織の身元を確認します。

証明書信用リスト (CTL) とは何ですか?  
信頼は署名されたメッセージの受信者とメッセージの署名者の間で存在しなければなりません。この信頼を確立するための 1 つの方法は、その機関や人物が本物かどうかを確認するための電子ドキュメントである、証明書を通して行うことです。各証明書は、両者によって信頼された第三者機関によって各機関に発行されます。そして、署名されたメッセージの各受信者は、署名者の証明書の発行元が信頼できるかどうかを決定します。CryptoAPI は、アプリケーション開発者が信頼された証明書やルートの所定のリストに対して自動的に証明書を認証するアプリケーションを作成する手法を実装しました。この信頼された機関 (いわゆる subject) のリストは、証明書信頼リスト (CTL) と呼ばれています。詳細情報は、MSDN ライブラリ Certificate Trust Verification (英語情報) を参照してください。

攻撃者はこれら証明書を利用して何を行う可能性がありますか? 
攻撃者はこれらの証明書を悪用し、コンテンツのなりすまし、フィッシング攻撃の実行、または次の Web プロパティに対して中間者攻撃を行う可能性があります。

  • live.fi
  • www.live.fi

中間者攻撃とは何ですか?  
中間者攻撃は、通信中の双方のユーザーに気付くことなく、攻撃者のコンピューターで双方のユーザー間の通信が経路変更された際に発生する攻撃です。通信中の双方のユーザーは、意図した受信者とのみ通信中であると思い、気付かないまま攻撃者とトラフィックの送受信を行います。

マイクロソフトは、この問題を解決するために何を行っていますか?  
これは、マイクロソフト製品の問題により生じた問題ではありませんが、マイクロソフトは CTL を更新し、お客様を保護するために更新プログラムを提供しています。マイクロソフトは、引き続きこの問題について調査し、将来的に CTL を変更するか、お客様を保護する手助けとなる更新プログラムをリリースする予定です。

この更新プログラムを適用後、Microsoft Untrusted Certificates Store (信頼できない証明書ストア) の証明書を確認するにはどうすればよいでしょうか?  
失効した証明書の自動更新ツールを使用している Windows Vista、Windows 8、Windows Server 2008、および Windows Server 2008 R2 システムは、(詳細については、サポート技術情報 2677070 を参照)、そして Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、および Windows Server 2012 R2 のシステムについては、以下の値を含むエントリーをイベント ビューアーのアプリケーション ログでご確認ください:

  • ソース: CAPI2
  • レベル: 情報
  • イベント ID: 4112
  • 説明: 許可されない証明書リストの自動更新に成功しました。有効期限: 2013 年 12 月 5 日、月曜日 (またはそれ以降)

失効した証明書の自動更新ツールを使用していないシステムについては、証明書 MMC スナップインで、以下の証明書が [信頼できない証明書のフォルダ] に追加されていることを確認してください:

証明書

発行者

拇印

www.live.fi

COMODO RSA Domain Validation Secure Serve CA

‎08 e4 98 72 49 bc 45 07 48 a4 a7 81 33 cb f0 41 a3 51 00 33

注:  MMC スナップインで証明書を表示する方法については、MSDN ライブラリの「方法:MMC スナップインを使用して証明書を参照する」を参照してください。

サポートされているリリースの Microsoft Windows への更新プログラムの適用

失効した証明書の自動更新ツールは、サポートされているエディションの Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、および Windows Server 2012 R2、およびWindows Phone 8 や Windows Phone 8.1 を稼働しているデバイスに内蔵されています。これらのオペレーティング システムおよびデバイスは、自動的に保護されるため、これらのシステムやデバイスに対してお客様は特に対策を行う必要はありません。

Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 を実行しており、失効した証明書の自動更新ツールを使用しているシステム (詳細についてはサポート技術情報 2677070 を参照) は自動的に保護されますので、お客様は特に対策を行う必要はありません。

Windows Server 2003 を稼働しているお客様、マイクロソフトは、更新プログラム管理ソフトウェアを利用する、Microsoft Update を利用して更新プログラムを確認する、または更新プログラムを手動でダウンロードし、適用するなどして、サポート技術情報 3046310 をすぐに適用されることを推奨しています。ダウンロードリンクは、サポート技術情報 3043610を参照してください。

追加の推奨されるアクション

  • コンピューターを守る

    マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。詳細については、Microsoft セーフティとセキュリティ センターを参照してください。

  • マイクロソフトのソフトウェアを最新の状態に保つ

    マイクロソフトのソフトウェアをお使いのお客様は、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、お使いのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、Microsoft Update で、利用可能な更新プログラムがあるかどうかに関してコンピューターをスキャンし、提供されている優先度の高い更新プログラムをインストールしてください。自動更新が有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。

フィードバック

サポート

  • セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • Microsoft TechNet セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation およびその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性など、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社およびこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2015/03/17): このアドバイザリを公開しました。
  • V2.0 (2015/03/20): このアドバイザリを更新し、サポートされているエディションの Windows Server 2003 向け更新プログラムを公開しました。詳細およびダウンロードリンクについては、サポート技術情報 3043610 を参照してください。

Page generated 2015-03-19 11:08Z-07:00.
表示: