Microsoft セキュリティ アドバイザリ 3119884
誤ってデジタル証明書を開示すると、スプーフィングが可能になる可能性がある
公開日: 2015 年 11 月 30 日
バージョン: 1.0
概要
Microsoft は、秘密キーが誤って開示された Dell Inc. の制約のないデジタル証明書を認識しています。 これらの制約のない証明書の 1 つを使用して、他の証明書の発行、他の doメイン の偽装、またはコードへの署名を行うことができます。 さらに、これらの証明書は、コンテンツのスプーフィング、フィッシング攻撃の実行、Dell のお客様に対する中間者攻撃の実行に使用できます。 この問題は、Microsoft Windows でサポートされているすべてのリリースに影響します。 Microsoft は現在、この問題に関連する攻撃を認識していません。
これらの制約のないデジタル証明書が不正に使用される可能性から顧客を保護するために、Dell Inc. によって証明書が無効になったと見なされ、Microsoft は、サポートされているすべてのリリースの Microsoft Windows の証明書信頼リスト (CTL) を更新して、これらの証明書の信頼を削除しています。 これらの証明書の詳細については、このアドバイザリの 「よく寄せられる質問」セクションを 参照してください。
推奨。 Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2、Windows 10、Windows 10 Version 1511、および Windows 電話 8、Windows 電話 8.1、および Windows 10 Mobile を実行しているデバイスのサポートされているエディションには、証明書信頼リストの自動更新プログラムが含まれています。 これらのオペレーティング システムとデバイスでは、これらのシステムとデバイスが自動的に保護されるため、お客様は何も行う必要はありません。
証明書信頼リストの自動アップデーターを使用している Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 を実行しているシステムの場合 (詳細については、Microsoft サポート技術情報の記事2677070を参照)、これらのシステムが自動的に保護されるため、ユーザーは何も行う必要はありません。
影響を受けるソフトウェア
このアドバイザリでは、次のソフトウェアについて説明します。
| 影響を受けるソフトウェア |
|---|
| オペレーティング システム |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 for 32 ビット システム Service Pack 2 |
| x64 ベースシステム Service Pack 2 用 Windows Server 2008 |
| Windows Server 2008 for Itanium ベースのシステム Service Pack 2 |
| Windows 7 for 32 ビット システム Service Pack 1 |
| Windows 7 for x64 ベースのシステム Service Pack 1 |
| x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 |
| Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1 |
| Windows 8 for 32 ビット システム |
| Windows 8 for x64 ベースのシステム |
| 32 ビット システム用 Windows 8.1 |
| x64 ベースシステム用 Windows 8.1 |
| Windows RT |
| Windows RT 8.1 |
| Windows Server 2012 |
| Windows Server 2012 R2 |
| Windows 10 |
| Windows 10 バージョン 1511 |
| Server Core のインストール オプション |
| Windows Server 2008 for 32 ビット システム Service Pack 2 (Server Core インストール) |
| x64 ベースシステム Service Pack 2 用 Windows Server 2008 (Server Core インストール) |
| x64 ベース システム用 Windows Server 2008 R2 (Server Core インストール) |
| Windows Server 2012 (Server Core のインストール) |
| Windows Server 2012 R2 (Server Core のインストール) |
| 影響を受けるデバイス |
| Windows Phone 8 |
| Windows Phone 8.1 |
| Windows 10 Mobile |
アドバイザリに関する FAQ
アドバイザリの範囲は何ですか?
このアドバイザリの目的は、Dell Inc. の制約のない複数のデジタル証明書の秘密キーが誤って開示されたことをお客様に通知することです。 制約のない証明書は、コンテンツのスプーフィング、フィッシング攻撃の実行、Dell のお客様に対する中間者攻撃の実行に使用できます。 証明書の 1 つを使用して、他の証明書の発行、他の doメイン の偽装、またはコードへの署名を行うことができます。
問題の原因は何ですか?
この問題は、Dell Inc. から 2 つの暗号化証明書の秘密キー情報が誤って開示されたことが原因で発生しました。
この更新プログラムは、他のデジタル証明書に対処しますか?
はい。このアドバイザリで説明した証明書に対処するだけでなく、この更新プログラムは累積的であり、前のアドバイザリで説明したデジタル証明書が含まれています。
- Microsoft セキュリティ アドバイザリ 2982792
- Microsoft セキュリティ アドバイザリ 2916652
- Microsoft セキュリティ アドバイザリ 2798897
- Microsoft セキュリティ アドバイザリ 2728973
- Microsoft セキュリティ アドバイザリ 2718704
- Microsoft セキュリティ アドバイザリ 2641690
- Microsoft セキュリティ アドバイザリ 2607712
- Microsoft セキュリティ アドバイザリ 2524375
- Microsoft セキュリティ アドバイザリ 3046310
暗号化とは
暗号化は、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号テキストと呼ばれます) の間で変換することによって、情報をセキュリティで保護する科学です。
あらゆる形式の暗号化では、キーと呼ばれる値が暗号化アルゴリズムと呼ばれるプロシージャと組み合わせて使用され、プレーンテキスト データを暗号テキストに変換します。 最も使い慣れた種類の暗号化である秘密鍵暗号化では、暗号テキストは同じキーを使用してプレーンテキストに変換されます。 ただし、2 番目の種類の暗号化である公開キー暗号化では、暗号化テキストをプレーンテキストに変換するために別のキーが使用されます。
デジタル証明書とは
公開キー暗号化では、秘密キーと呼ばれるいずれかのキーを秘密にしておく必要があります。 公開キーと呼ばれるもう 1 つのキーは、世界と共有することを目的としています。 ただし、キーの所有者がキーが属するユーザーを世界に伝える方法が必要です。 デジタル証明書は、これを行う方法を提供します。 デジタル証明書は、公開キーとその情報 (誰が所有するか、何に使用できるか、有効期限が切れたときなど) と共にパッケージ化する改ざん防止データです。
証明書の用途
証明書は主に、個人またはデバイスの ID の確認、サービスの認証、またはファイルの暗号化に使用されます。 通常、証明書についてまったく考慮する必要はありません。 ただし、証明書の有効期限が切れているか無効であることを示すメッセージが表示されることがあります。 このような場合は、メッセージの指示に従う必要があります。
証明機関 (CA) とは
証明機関は、証明書を発行する組織です。 ユーザーまたは他の証明機関に属する公開キーの信頼性を確立して検証し、証明書を要求する個人または組織の ID を確認します。
証明書信頼リスト (CTL) とは
署名されたメッセージの受信者とメッセージの署名者の間に信頼が存在する必要があります。 この信頼を確立する方法の 1 つは、証明書を通じて、エンティティまたは個人が誰であるかを検証する電子ドキュメントです。 証明書は、両方の当事者によって信頼されているサード パーティによってエンティティに発行されます。 そのため、署名済みメッセージの各受信者は、署名者の証明書の発行者が信頼できるかどうかを決定します。 CryptoAPI には、アプリケーション開発者が、信頼できる証明書またはルートの定義済みの一覧に対して証明書を自動的に検証するアプリケーションを作成できるようにする手法が実装されています。 この信頼されたエンティティの一覧 (サブジェクトと呼ばれます) は、証明書信頼リスト (CTL) と呼ばれます。 詳細については、MSDN の記事 「証明書の信頼の検証」を参照してください。
攻撃者はこれらの証明書に対して何を行う可能性がありますか?
攻撃者は、これらの証明書を使用して、コンテンツのなりすまし、フィッシング攻撃、または次の Web プロパティに対する中間者攻撃を実行する可能性があります。 攻撃者は、これらの証明書のいずれかを使用して他の証明書を発行したり、他の doメイン を偽装したり、コードに署名したりする可能性もあります。
中間者攻撃とは
中間者攻撃は、攻撃者が 2 人のユーザーの情報を知らずに、攻撃者のコンピューターを介して 2 人のユーザー間の通信を再ルーティングするときに発生します。 通信の各ユーザーは、意図したユーザーとだけ通信していると考えながら、知らず知らずのうちに攻撃者との間でトラフィックを送受信します。
この問題の解決に役立つ Microsoft の取り組み
この問題は Microsoft 製品の問題によるものではありませんが、CTL を更新し、お客様を保護するための更新プログラムを提供しています。 Microsoft は引き続きこの問題を調査し、CTL に今後変更を加えたり、お客様を保護するために将来の更新プログラムをリリースしたりする可能性があります。
更新プログラムを適用した後、Microsoft 信頼されていない証明書ストアの証明書を確認するにはどうすればよいですか?
Windows Vista の場合、 証明書信頼リストの自動アップデーターを使用している Windows 7、Windows Server 2008、および Windows Server 2008 R2 システム (詳細については、Microsoft サポート技術情報の記事2677070を参照)、Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2、Windows 10、および Windows 10 Version 1511 システムの場合 次の値を持つエントリのイベント ビューアーにアプリケーション ログをチェックできます。
- ソース: CAPI2
- レベル: Information
- イベント ID: 4112
- 説明: 2015 年 11 月 24 日 (またはそれ以降) に、許可されていない証明書リストの自動更新に成功しました。
証明書信頼リストの自動アップデーターを使用していないシステムの場合は、証明書 MMC スナップインで、次の証明書が信頼されていない証明書フォルダーに追加されていることを確認します。
| [証明書] | 発行者 | 拇印 |
|---|---|---|
| DSDTestProvider | DSDTestProvider | 02 c2 d9 31 06 2d 7b 1d c2 a5 c7 f5 f0 68 50 64 08 1f b2 21 |
| eDellCert | eDellCert | 98 a0 4e 41 63 35 77 90 c4 a7 9e 6d 71 3f f0 af 51 fe 69 27 |
注 : MMC スナップインで証明書を表示する方法については、MSDN の記事 「方法: MMC スナップインで証明書を表示する」を参照してください。
推奨されるアクション
Microsoft Windows のサポートされているリリースの更新プログラムを適用する
Windows 8、Windows 8.1、Windows RT 8.1、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2、Windows 10 バージョン 1511、および Windows 電話 8、Windows 電話 8.1、および Windows 10 Mobile を実行しているデバイスのサポートされているエディションには、証明書信頼リストの自動アップデーターが含まれています。 これらのオペレーティング システムまたはデバイスでは、CTL が自動的に更新されるため、ユーザーは何も行う必要はありません。
証明書信頼リストの自動アップデーターを使用している Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 を実行しているシステムの場合 (詳細については、Microsoft サポート技術情報の記事2677070を参照)、CTL が自動的に更新されるため、ユーザーは何も行う必要はありません。
その他の推奨されるアクション
PC を保護する
ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 詳細については、「Microsoft セーフty & Security Center」を参照してください。
Microsoft ソフトウェアを最新の状態に保つ
Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新を有効にして、Microsoft 製品の更新プログラムを提供するように構成している場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。
その他の情報
フィードバック
- Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。
サポート
- 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
- Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。
免責情報
このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
- V1.0 (2015 年 11 月 30 日): アドバイザリが公開されました。
Page generated 2015-12-03 14:47-08:00.