マイクロソフト セキュリティ アドバイザリ 3097966

不注意で発行されたデジタル証明書により、なりすましが行われる

公開日: 2015 年 9 月 25 日 | 最終更新日: 2015 年 10 月 14 日

バージョン: 2.0

2015 年 9 月 25 日、マイクロソフトはこのアドバイザリを公開し、なりすましに使用される可能性のある不注意で公開された 4 件のデジタル証明書についてお知らせすると共に、証明書信頼リスト (CTL) を更新しこの証明書のユーザーモードの信頼を除外しました。お知らせしました通り、この公開されたエンド エンティティ証明書はその他の証明書の発行またはその他のドメインの偽装に使用されることはありませんが、サインコードに使用される可能性があります。 さらに、各証明書の発行機関はこの 4 件の証明書を無効にしました。

2015 年 10 月 14 日、マイクロソフトはこのアドバイザリを更新し、すべてのサポートされているリリースの Windows のコードの整合性コンポーネントを修正する更新プログラムが利用可能になったことをお知らせしました。これは、この証明書の信頼の除外を拡張し、カーネル モードのコード署名も除外します。

推奨する対策: 特定のリリースの Microsoft Windows への適用方法については、このアドバイザリの「推奨するアクション」を参照してください。2015 年 9 月 25 日に公開した証明書信頼リスト (CTL) の更新プログラムおよび 2015 年 10 月 14 日に公開した Windows の更新プログラムは、この問題から影響を受けるシステムを保護するために必要です。

既知の問題: サポート技術情報 3097966 には、2015 年 10 月 14 日に公開した更新プログラムをインストールする際に発生する可能性のある既知の問題に関して記載しています。また、このサポート技術情報には、推奨する対策も記載しています。

この問題に関する詳細は、以下の関連情報を参照してください。

関連情報

ID

サポート技術情報

3097966

このアドバイザリは次のソフトウェアに適用します。

Windows Vista

Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2

Windows Server 2008

Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems Service Pack 2

Windows 7

Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1

Windows Server 2008 R2

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

Windows 8

Windows 8 for 32-bit Systems
Windows 8 for x64-based Systems

Windows Server 2012

Windows Server 2012

Windows RT

Windows RT[1]

Windows 8.1

Windows 8.1 for 32-bit Systems
Windows 8.1 for x64-based Systems

Windows Server 2012 R2

Windows Server 2012 R2

Windows RT 8.1

Windows RT 8.1[1]

Windows 10

Windows 10 for 32-bit Systems [2]
(3097617)

Windows 10 for x64-based Systems [2]
(3097617)

Server Core インストール オプション

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core インストール)

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core インストール)

Windows Server 2008 R2 for x64-based Systems (Server Core インストール)

Windows Server 2012 (Server Core インストール)

Windows Server 2012 R2 (Server Core インストール)

影響を受けるデバイス

Windows Phone 8[1]

Windows Phone 8.1[1]

Windows Server Technical Preview 3 は影響を受けます。 このオペレーティング システムを実行しているお客様は、Windows Update を介してこの更新プログラムを適用することを推奨します。

[1]Windows Phone 8 および Windows Phone 8.1 は、自動的に 2015 年 9 月 25 日の CTL の更新プログラムを受け取っています; しかしながら、これらのデバイスは署名済みであってもサード パーティのドライバーのインストールを許可しません。従って、2015 年 10 月 14 日の 2 番目の更新プログラムは必要ありません。

[2]Windows 10 の更新プログラムは累積的な更新プログラムです。セキュリティ以外の更新プログラムだけでなく、指定された月のセキュリティ リリースで提供している Windows 10 が影響を受けるすべての脆弱性に対するセキュリティ上の修正がすべて含まれています。この更新プログラムは、Windows Update カタログを介して入手可能です。詳細およびダウンロード リンクは、サポート技術情報 3097617 を参照してください。

2015 年 10 月 14 日にアドバイザリが更新されたのはなぜですか?
2015 年 10 月 14 日、このアドバイザリを更新し、すべてのサポートされているリリースの Windows 用に Windows のコードの整合性コンポーネントを修正する Windows の更新プログラムが利用可能になったことをお知らせしました。これは、4 件のデジタル証明書の信頼の除外を拡張し、カーネル モードのコード署名も除外します。詳細およびダウンロード リンクは、サポート技術情報 3097966 を参照してください。2015 年 9 月 25 日に公開した証明書信頼リスト (CTL) の更新プログラムおよび 2015 年 10 月 14 日に公開した Windows の更新プログラムは、このアドバイザリで説明されている問題から影響を受けるシステムを保護するために必要です。

このアドバイザリの目的は何ですか?
このアドバイザリの目的は、Windows および証明書信頼リスト (CTL) を更新し、4 件のデジタル証明書のユーザーモードの信頼およびカーネルモードのコード署名の信頼を除外し、各証明書の発行機関 (CAs) がこの証明書を無効にしたことをお知らせするものです。

何が原因で起こりましたか?
この問題は、D-Link Corporation の不注意で証明書キーが公開されたことで起こりました。

この CTL の更新プログラムはその他のデジタル証明書の問題も解決しますか?
はい、このアドバイザリで説明されている証明書を解決するだけではありません。2015 年 9 月 25 日に公開した最初の CTL の更新プログラムは累積的なので以前のアドバイザリで説明されているデジタル証明書も含まれています。

暗号化とは何ですか?
暗号化とは、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号文として知られてます) 間で情報を変換することにより、情報を保護する技術です。

すべての暗号化の形式で、プレーンテキスト データを暗号文に変換するために、暗号アルゴリズムと呼ばれるプロシージャと共に、キーと呼ばれる値が使用されます。 最もよく知られた暗号化の種類は、秘密キーの暗号化で、暗号文が同じキーを使用してプレーンテキストに復号化されます。 しかし、別の種類の暗号化である公開キーの暗号化では、暗号化テキストをプレーンテキストに復号化するために異なるキーが使用されます。

デジタル証明書とは何ですか?
公開鍵暗号では、キーの 1 つである秘密キーと呼ばれるキーは秘密にされている必要があります。 公開キーと呼ばれているもう 1 つのキーは世界で共有されることが意図されています。 しかし、キーの所有者がキーが誰に属しているかを公に知らせる方法が必要になります。 デジタル証明書はこれを実行する方法を提供します。 デジタル証明書は改ざんができないデータの一部で、公開キーと、公開キーについての情報 (所有者情報、使用用途、有効期限、その他の関連情報) を含みます。

証明書が使用される目的は何ですか?
証明書は主に人物またはデバイスの身元の確認、サービスの認証、またはファイルの暗号化に使用されます。 通常、証明書について何も考える必要はありません。 しかし、証明書の有効期限が切れている、または無効であることを示すメッセージが表示されることがあります。 このような場合、メッセージの説明に従ってください。

証明機関 (CA) とは何ですか?
証明機関とは、証明書を発行する組織のことです。 証明機関は、人物またはその他の証明機関に属す公開キーの信頼性を確立し、検証します。また、証明書を要求する人物または組織の身元を確認します。

証明書信頼リスト (CTL) とは何ですか?
信頼は署名されたメッセージの受信者とメッセージの署名者の間で存在しなければなりません。 この信頼を確立するための 1 つの方法は、その機関や人物が本物かどうかを確認するための電子ドキュメントである、証明書を通して行うことです。 各証明書は、両者によって信頼された第三者機関によって各機関に発行されます。 そして、署名されたメッセージの各受信者は、署名者の証明書の発行元が信頼できるかどうかを決定します。 CryptoAPI は、アプリケーション開発者が信頼された証明書やルートの所定のリストに対して自動的に証明書を認証するアプリケーションを作成する手法を実装しました。 この信頼された機関 (いわゆる subject) のリストは、証明書信頼リスト (CTL) と呼ばれています。 詳細情報は、MSDN ライブラリ Certificate Trust Verification (英語情報) を参照してください。

攻撃者はこれら証明書を利用して何を行う可能性がありますか?
攻撃者はこの証明書を悪用し、不正にコード署名をする可能性があります。

マイクロソフトはこの問題を解決するためにどのような協力を行いますか?
これは、マイクロソフト製品の問題により生じた問題ではありませんが、マイクロソフトは CTL を更新し、お客様を保護するために Windows の更新プログラムを提供しています。 マイクロソフトは、引き続きこの問題について調査し、将来的に CTL を変更するか、お客様を保護する手助けとなる更新プログラムをリリースする予定です。

この CTL の更新プログラムを適用後、Microsoft Untrusted Certificates Store (信頼できない証明書ストア) の証明書を確認するにはどうすればよいでしょうか?
失効した証明書の自動更新ツールを使用している Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 システム (詳細についてはサポート技術情報 2677070 を参照)、また Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2 および Windows 10 システムの場合は、イベント ビューアーのアプリケーション ログから、次の値を持つエントリを確認できます。

  • ソース: CAPI2
  • レベル: Information
  • イベント ID: 4112
  • 説明: 許可されない証明書リストの自動更新に成功しました。発効日: 2015 年 10 月 13 日 火曜日 (またはそれ以降)。

失効した証明書の自動更新ツールを使用していないシステムの場合は、証明書 MMC スナップインで次の証明書が信頼されていない証明書フォルダーに追加されていることを確認してください。

証明書

発行者

サムプリント

DLINK CORPORATION

Symantec Corporation

3e b4 4e 5f fe 6d c7 2d ed 70 3e 99 90 27 22 db 38 ff d1 cb

Alpha Networks

Symantec Corporation

73 11 e7 7e c4 00 10 9d 6a 53 26 d8 f6 69 62 04 fd 59 aa 3b

KEEBOX

GoDaddy.com, LLC

91 5a 47 8d b9 39 92 5d a8 d9 ae a1 2d 8b ba 14 0d 26 59 9c

TRENDnet

GoDaddy.com, LLC

db 50 42 ed 25 6f f4 26 86 7b 33 28 87 ec ce 2d 95 e7 96 14

: MMC スナップインで証明書を表示する方法については、MSDN ライブラリの「MMC スナップインを使用して証明書を表示する方法」を参照してください。

2015 年 10 月 14 日に公開した更新プログラム 3097966 の適用

大半のお客様は自動更新が有効になっており、この更新プログラム 3097966 が自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。自動更新が有効にしていないお客様は、更新プログラムを確認し、手動でこの更新プログラムをインストールする必要があります。自動更新の構成オプションの詳細に関する情報は、サポート技術情報 3097966 を参照してください。

管理者およびエンタープライズ インストール、または更新プログラム 3097966 を手動でインストールを行うエンドユーザーは、ソフトウェアの更新管理を使用して直ちに更新プログラムを適用するか、または Microsoft update サービスを使用して更新プログラムを確認することを推奨します。手動による更新プログラムの適用に関する詳細は、サポート技術情報 3097966 を参照してください。

2015 年 9 月 25 日に公開した CTL の更新プログラムの適用 (未適用の場合)

失効した証明書の自動更新ツールは、サポートされているエディションの Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows RT 8.1、Windows Server 2012 R2、および Windows 10 や Windows Phone 8 および Windows Phone 8.1 を実行しているデバイスに内蔵されています。 これらのオペレーティング システムまたはデバイスについては、証明書信頼リスト (CTL) が自動的に更新されるため、お客様は特別な措置を講じる必要はありません。

Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 を実行しており、失効した証明書の自動更新ツールを使用しているシステムは (詳細については サポート技術情報 2677070 を参照)、自動的に保護されるため、お客様は特別な措置を講じる必要はありません。

Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 を実行しており、 失効した証明書がインストールされた自動更新ツールを持ち合わせていないシステムは、この更新プログラムを利用できません。この更新プログラムを受け取るには、失効した証明書の自動更新ツールをインストールする必要があります (詳細については サポート技術情報 2677070 を参照)。非接続環境で Windows Vista、Windows 7、Windows 8、Windows Server 2008、Windows Server 2008 R2、または Windows Server 2012 を実行しているお客様は、更新プログラム 2813430 をインストールするとこの更新プログラムを受け取ることができます (詳細については サポート技術情報 2813430 を参照)。

追加の推奨されるアクション

  • コンピューターを守る

    マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。 詳細については、Microsoft セーフティとセキュリティ センターを参照してください。

  • マイクロソフトのソフトウェアを最新の状態に保つ

    マイクロソフトのソフトウェアを使用しているユーザーは、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、ユーザーのコンピューターが可能な限り保護されることを手助けするものです。 ご使用のソフトウェアが最新のものかどうか定かでない場合は、Microsoft Update にアクセスし、コンピューターをスキャンして利用可能な更新プログラムがあるかどうかを調べ、提示される優先度の高い更新プログラムをインストールしてください。 自動更新が有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されますが、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。

セキュリティ 更新プログラムの展開に関する情報は、サポート技術情報 3097966 を参照してください。

フィードバック

サポート

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。 Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。 Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2015/09/25): このアドバイザリを公開しました。
  • V2.0 (2015/10/14): このアドバイザリを更新し、Windows のコードの整合性コンポーネントを修正する更新プログラムが利用可能になったことをお知らせしました。これは、このアドバイザリで対処した 4 件のデジタル証明書の信頼の除外を拡張し、カーネル モードのコード署名も除外します。

Page generated 2015-10-12 11:54Z-07:00.
表示: