マイクロソフト セキュリティ アドバイザリ 3050995

不適切に発行されたデジタル証明書により、なりすましが行われる

公開日: 2015 年 3 月 25 日 | 最終更新日: 2015 年 3 月 27 日

バージョン: 2.0

マイクロソフトは、コンテンツのなりすまし、フィッシング詐欺の実行、あるいは中間者攻撃に使用される可能性のある、下位 CA、MCS Holdings によって不適切に発行されたデジタル証明書について確認しています。 この証明書が、その他の証明書の発行、ドメインの偽装、またはサインコードに使用されることはありません。この問題は、すべてのサポートされているリリースの Microsoft Windows に影響を及ぼします。

不適切に発行された証明書の悪用からお客様を保護するために、マイクロソフトは、信頼された下位 CA 証明書を除外するべく、証明書信頼リスト (CTL) を更新しています。 信頼されたルート証明機関、中国インターネット情報センター(CNNIC)においても、下位 CA 証明書を無効にしました。これらの証明書に関する詳細については、このアドバイザリの「よく寄せられる質問」のセクションを参照してください。

推奨する対応策:特定のリリースの Microsoft Windows への適用方法については、このアドバイザリの「推奨するアクション」を参照してください。

この問題に関する詳細情報は、次の参照情報をご確認ください。

参照情報

ID

マイクロソフト サポート技術情報

3050995

このアドバイザリは次のソフトウェアについて説明しています。

オペレーティング システム

Windows Server 2003 Service Pack 2

Windows Server 2003 x64 Edition Service Pack 2

Windows Server 2003 with SP2 for Itanium-based Systems

Windows Vista Service Pack 2

Windows Vista x64 Edition Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for Itanium-based Systems Service Pack 2

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

Windows 8 for 32-bit Systems

Windows 8 for x64-based Systems

Windows Server 2012

Windows RT

Windows 8.1 for 32-bit Systems

Windows 8.1 for x64-based Systems

Windows Server 2012 R2

Windows RT 8.1

Server Core インストール オプション

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core インストール)

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core インストール)

Windows Server 2008 R2 for x64-based Systems (Server Core インストール)

Windows Server 2012 (Server Core インストール)

Windows Server 2012 R2 (Server Core インストール)

影響を受けるデバイス

Windows Phone 8

Windows Phone 8.1

アドバイザリの「よく寄せられる質問」
このアドバイザリの目的は、MCS Holdings が Google web プロパティなどの複数のサイト向けに不適切に SSL 証明書を発行したことをお知らせするものです。このような SSL 証明書は、コンテンツのなりすまし、フィッシング攻撃の実行、または Web プロパティに対する中間者攻撃の実行に悪用される可能性があります。この下位証明機関が、現在未判明のその他のサイトに対する証明書を発行するために使われ、これが同様の攻撃を引き起こす可能性もあります。

何が原因で起こりましたか?
この問題は、下位 CA、MCS Holdings が証明書のオーナー以外のエンティティに対して、不適切にドメイン証明書を発行することで起こります。 MCS Holdings 機関は、信頼されたルート証明機関ストアに含まれる CA である中国インターネット情報センター(CNNIC)の傘下に属しています。

この更新プログラムはその他のデジタル証明書の問題も解決しますか?
はい、このアドバイザリで説明されている証明書を解決するだけではなく、この更新プログラムは累積的なので以前のアドバイザリで説明されているデジタル証明書も含まれています。

暗号化とは何ですか?
暗号化とは、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号文として知られています) 間で情報を変換することにより、情報を保護する技術です。

すべての暗号化の形式で、プレーンテキスト データを暗号文に変換するために、暗号アルゴリズムと呼ばれるプロシージャと共に、キーと呼ばれる値が使用されます。最もよく知られた暗号化の種類は、秘密キーの暗号化で、暗号文が同じキーを使用してプレーンテキストに復号化されます。しかし、別の種類の暗号化である公開キーの暗号化では、暗号化テキストをプレーンテキストに復号化するために異なるキーが使用されます。

デジタル証明書とは何ですか?
公開鍵暗号では、キーの 1 つである秘密キーと呼ばれるキーは秘密にされている必要があります。公開キーと呼ばれているもう 1 つのキーは世界で共有されることが意図されています。しかし、キーの所有者がキーが誰に属しているかを公に知らせる方法が必要になります。デジタル証明書はこれを実行する方法を提供します。デジタル証明書は改ざんができないデータの一部で、公開キーと、公開キーについての情報 (所有者情報、使用用途、有効期限、その他の関連情報) を含みます。

証明書が使用される目的は何ですか?
証明書は主に人物またはデバイスの身元の確認、サービスの認証、またはファイルの暗号化に使用されます。通常、証明書について何も考える必要はありません。しかし、証明書の有効期限が切れている、または無効であることを示すメッセージが表示されることがあります。このような場合、メッセージの説明に従ってください。

証明機関 (CA) とは何ですか?
証明機関とは、証明書を発行する組織のことです。証明機関は、人物またはその他の証明機関に属す公開キーの信頼性を確立し、検証します。また、証明書を要求する人物または組織の身元を確認します。

証明書信頼リスト (CTL) とは何ですか?
信頼は署名されたメッセージの受信者とメッセージの署名者の間で存在しなければなりません。この信頼を確立するための 1 つの方法は、その機関や人物が本物かどうかを確認するための電子ドキュメントである、証明書を通して行うことです。各証明書は、両者によって信頼された第三者機関によって各機関に発行されます。そして、署名されたメッセージの各受信者は、署名者の証明書の発行元が信頼できるかどうかを決定します。CryptoAPI は、アプリケーション開発者が信頼された証明書やルートの所定のリストに対して自動的に証明書を認証するアプリケーションを作成する手法を実装しました。この信頼された機関 (いわゆる subject) のリストは、証明書信頼リスト (CTL) と呼ばれています。詳細情報は、MSDN ライブラリ Certificate Trust Verification (英語情報) を参照してください。

攻撃者はこれら証明書を利用して何を行う可能性がありますか?
攻撃者はこれらの証明書を悪用し、コンテンツのなりすまし、フィッシング攻撃の実行、または次の Web プロパティに対して中間者攻撃を行う可能性があります。

  • *.google.com
  • *.google.com.eg
  • *.g.doubleclick.net
  • *.gstatic.com
  • www.google.com
  • www.gmail.com
  • *.googleapis.com

中間者攻撃とは何ですか?
中間者攻撃は、通信中の双方のユーザーに気付くことなく、攻撃者のコンピューターで双方のユーザー間の通信が経路変更された際に発生する攻撃です。通信中の双方のユーザーは、意図した受信者とのみ通信中であると思い、気付かないまま攻撃者とトラフィックの送受信を行います。

マイクロソフトはこの問題を解決するためにどのような協力を行いますか?
これは、マイクロソフト製品の問題により生じた問題ではありませんが、マイクロソフトは証明書信頼リスト (CTL) を更新し、お客様を保護するために更新プログラムを提供しています。マイクロソフトは、引き続きこの問題について調査し、将来的に CTL を変更するか、お客様を保護する手助けとなる更新プログラムをリリースする予定です。

この更新プログラムを適用後、Microsoft Untrusted Certificates Store (信頼できない証明書ストア) の証明書を確認するにはどうすればよいでしょうか?
失効した証明書の自動更新ツールを使用している Windows Vista、Windows 7、Windows Server 2008、および Windows Server 2008 R2 システム、(詳細については、 サポート技術情報 2677070 を参照) そして windows 8、windows 8.1、windows RT、windows RT 8.1、windows server 2012、および windows server 2012 R2 のシステムについては、以下の値を含むエントリーをイベント ビューアーのアプリケーション ログでご確認ください

  • Source:CAPI2
  • レベル:情報
  • Event ID: 4112
  • 説明: 許可されない証明書リストの自動更新に成功しました。発効日: 2015 年 3 月 24 日(またはそれ以降)

失効した証明書の自動更新ツールを使用していないシステムの場合は、証明書 MMC スナップインで、次の証明書が、信頼されていない証明書フォルダーに追加されていることを確認してください。

証明書

発行者

サムプリント

MCSHOLDING TEST

CNNIC ROOT

e1 f3 59 1e 76 98 65 c4 e4 47 ac c3 7e af c9 e2 bf e4 c5 76

注: MMC スナップインで証明書を表示する方法については、MSDN ライブラリの 「方法:MMC スナップインを使用して証明書を参照する」を参照してください。

サポートされているリリースの Microsoft Windows への更新プログラムの適用

失効した証明書の自動更新ツールは、サポートされているエディションの Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows RT 8.1、および Windows Server 2012 R2、およびWindows Phone 8 や Windows Phone 8.1 を稼働しているデバイスに内蔵されています。 これらのオペレーティング システムおよびデバイスは、証明書信頼リスト (CTL) が自動的に更新されるため、お客様は特に対策を行う必要はありません。

Windows Vista、Windows 7、Windows Server 2008、またはWindows Server 2008 R2 を実行しており、失効した証明書の自動更新ツールを使用しているシステム (詳細については サポート技術情報 2677070 を参照)は自動的に保護されますので、お客様は特に対策を行う必要はありません。

Windows Server 2003 を実行している場合は、更新プログラム管理ソフトウェアを使用するか、Microsoft Update サービスで更新プログラムを確認するか、手動で更新プログラムをダウンロードして適用するかにより、更新プログラム 3050995 を即座に適用することを推奨します (詳細については、サポート技術情報 3050995 を参照してください。)。

追加の推奨されるアクション

  • コンピューターを守る

    マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。詳細については、Microsoft セーフティとセキュリティ センターを参照してください。

  • マイクロソフトのソフトウェアを最新の状態に保つ

    マイクロソフトのソフトウェアを使用しているユーザーは、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、ユーザーのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、Microsoft Update で利用可能な更新プログラムがあるかどうかに関してコンピューターをスキャンし、提供されている優先度の高い更新プログラムをインストールしてください。自動更新が有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。

フィードバック

サポート

  • セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • Microsoft TechNet セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2015/03/25):このアドバイザリを公開しました。
  • V2.0 (2015/03/27):このアドバイザリを再リリースし、Windows Server 2003 のサポートされているエディションの更新プログラムが利用できるようになったことをお知らせしました。 詳細とダウンロード リンクについては、サポート技術情報 3050995 を参照してください。

Page generated 2015-03-26 10:07Z-07:00.
表示: