マイクロソフト セキュリティ アドバイザリ 3119884

不注意で公開されたデジタル証明書により、なりすましが行われる

公開日: 2015 年 12 月 1 日

バージョン: 1.0

マイクロソフトは、秘密キーが不注意で公開された Dell 社の制約のないデジタル証明書を確認しています。これらの制約のない証明書は、その他の証明書の発行、ドメインのなりすまし、またはサインコードに使用される可能性があります。さらに、これらの証明書は、コンテンツのなりすまし、フィッシング攻撃の実行、または Dell の顧客に対する中間者攻撃の実行に使用される可能性があります。この問題は、すべてのサポートされているリリースの Microsoft Windows に影響を及ぼします。マイクロソフトは現在、この問題に関連した攻撃を確認していません。

これらの制約のないデジタル証明書の悪用からお客様を保護するため、Dell 社はこの証明書を無効と判断しました。また、マイクロソフトは証明書信頼リスト (CTL) を更新し、すべてのサポートされているリリースの Microsoft Windows 向けにこれらの証明書を信頼から除外しました。これらの証明書の詳細については、このアドバイザリの「よく寄せられる質問」のセクションを参照してください。

推奨する対応策: 証明書信頼リストの自動更新ツールは、サポートされているエディションの Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2、Windows 10 および Windows 10 バージョン 1511 および Windows Phone 8、Windows Phone 8.1、および Windows 10 Mobile を実行しているデバイスに搭載されています。これらのオペレーティング システムおよびデバイスは自動的に保護されるため、特別な措置を講じる必要はありません。

Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 を実行しており、証明書信頼リストの自動更新ツールを使用しているシステム (詳細についてはサポート技術情報 2677070 を参照) は自動的に保護されるため、特別な措置を講じる必要はありません。

このアドバイザリは次のソフトウェアについて説明しています。

影響を受けるソフトウェア

オペレーティング システム

Windows Vista Service Pack 2

Windows Vista x64 Edition Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for Itanium-based Systems Service Pack 2

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

Windows 8 for 32-bit Systems

Windows 8 for x64-based Systems

Windows 8.1 for 32-bit Systems

Windows 8.1 for x64-based Systems

Windows RT

Windows RT 8.1

Windows Server 2012

Windows Server 2012 R2

Windows 10

Windows 10 バージョン 1511

Server Core インストール オプション

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core インストール)

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core インストール)

Windows Server 2008 R2 for x64-based Systems (Server Core インストール)

Windows Server 2012 (Server Core インストール)

Windows Server 2012 R2 (Server Core インストール)

影響を受けるデバイス

Windows Phone 8

Windows Phone 8.1

Windows 10 Mobile

このアドバイザリの目的は何ですか?
このアドバイザリの目的は、Dell 社のいくつかの制約のないデジタル証明書の秘密キーが不注意で公開されたことをお知らせするためです。 これらの制約のない証明書は、コンテンツのなりすまし、フィッシング攻撃の実行、または Dell の顧客に対する中間者攻撃の実行に使用される可能性があります。 これらの制約のない証明書は、その他の証明書の発行、ドメインのなりすまし、またはサインコードに使用される可能性があります。

この問題は何が原因で起こりますか?
この問題は、Dell 社の 2 つの暗号化証明書用の秘密キーの情報が不注意で公開されたことが原因で起こりました。

この更新はその他のデジタル証明書の問題にも対応していますか?
はい。このアドバイザリで説明している証明書への対応に加え、この更新は累積的なもので、以前のアドバイザリで説明しているデジタル証明書にも対応しています:

暗号化とは何ですか?
暗号化とは、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号文として知られています) 間で情報を変換することにより、情報を保護する技術です。

すべての暗号化の形式で、プレーンテキスト データを暗号文に変換するために、暗号アルゴリズムと呼ばれるプロシージャと共に、キーと呼ばれる値が使用されます。 最もよく知られた暗号化の種類は、秘密キーの暗号化で、暗号文が同じキーを使用してプレーンテキストに復号化されます。 しかし、別の種類の暗号化である公開キーの暗号化では、暗号化テキストをプレーンテキストに復号化するために異なるキーが使用されます。

デジタル証明書とは何ですか?
公開キー暗号では、秘密キーと呼ばれるキーは秘密にされている必要があります。 公開キーと呼ばれているもう 1 つのキーは世界で共有されることが意図されています。 しかし、キーの所有者がキーが誰に属しているかを公に知らせる方法が必要になります。 デジタル証明書はこれを実行する方法を提供します。 デジタル証明書は改ざんができないデータの一部で、公開キーと、公開キーについての情報 (所有者情報、使用用途、有効期限、その他の関連情報) を含みます。

証明書が使用される目的は何ですか?
証明書は主に人物またはデバイスの身元の確認、サービスの認証、またはファイルの暗号化に使用されます。 通常、証明書について何も意識する必要はありません。 証明書の有効期限が切れている、または無効であることを示すメッセージが表示されることがあります。 このような場合、メッセージの手順に従ってください。

証明機関 (CA) とは何ですか?
証明機関とは、証明書を発行する組織のことです。 証明機関は、人物またはその他の証明機関に属す公開キーの信頼性を確立し、検証します。また、証明書を要求する人物または組織の身元を検証します。

証明書信頼リスト (CTL) とは何ですか?
信頼は署名されたメッセージの受信者とメッセージの署名者の間で存在しなければなりません。 この信頼を確立するための 1 つの方法は、その機関や人物が本物かどうかを確認するための電子ドキュメントである、証明書を通して行うことです。 各証明書は、両者によって信頼された第三者機関によって各機関に発行されます。 そして、署名されたメッセージの各受信者は、署名者の証明書の発行元が信頼できるかどうかを決定します。 CryptoAPI は、アプリケーション開発者が信頼された証明書やルートの所定のリストに対して自動的に証明書を認証するアプリケーションを作成する手法を実装しました。 この信頼された機関 (いわゆる subject) のリストは、証明書信頼リスト (CTL) と呼ばれています。 詳細情報は、MSDN ライブラリ Certificate Trust Verification (英語情報) を参照してください。

これらの証明書により、攻撃者は何を行う可能性がありますか?
攻撃者はこれらの証明書を悪用し、コンテンツのなりすまし、フィッシング攻撃の実行、または次の Web プロパティに対して中間者攻撃を行う可能性があります。 また、攻撃者はこれらの証明書を、その他の証明書の発行、ドメインのなりすまし、またはサインコードに使用する可能性があります。

中間者攻撃とは何ですか?
中間者攻撃は、通信中の双方のユーザーが気付くことなく、攻撃者のコンピューターを経由するように双方のユーザー間の通信が経路変更された際に発生する攻撃です。 通信中の双方のユーザーは、意図した受信者とのみ通信中であると思い、気付かないまま攻撃者とトラフィックの送受信を行います。

マイクロソフトはこの問題を解決するためにどのような協力を行いますか?
これは、マイクロソフト製品の問題により生じた問題ではありませんが、マイクロソフトは CTL を更新し、お客様を保護するために更新プログラムを提供しています。 マイクロソフトは引き続きこの問題について調査し、将来的に CTL を変更するか、お客様を保護する更新プログラムをリリースする予定です。

更新プログラムの適用後、マイクロソフトの信頼されていない証明書ストアの証明書をどのように確認することができますか?
証明書信頼リストの自動更新ツールを使用している Windows Vista、Windows 7、Windows Server 2008、および Windows Server 2008 R2 システム (詳細についてはサポート技術情報 2677070 を参照)、および Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2、Windows 10、および Windows 10 バージョン 1511 システムは、イベント ビューアーのアプリケーション ログから、次の値を持つエントリを確認できます:

  • ソース: CAPI2
  • レベル: 情報
  • イベント ID: 4112
  • 説明: 許可されない証明書リストの自動更新に成功しました。発効日: 2015 年 11 月 24 日 火曜日 (またはそれ以降)。

証明書信頼リストの自動更新ツールを使用していないシステムの場合は、証明書 MMC スナップインで、次の証明書が信頼されていない証明書のフォルダーに追加されていることを確認してください。

証明書

発行者

拇印

DSDTestProvider

DSDTestProvider

02 c2 d9 31 06 2d 7b 1d c2 a5 c7 f5 f0 68 50 64 08 1f b2 21

eDellCert

eDellCert

98 a0 4e 41 63 35 77 90 c4 a7 9e 6d 71 3f f0 af 51 fe 69 27

注 : MMC スナップインで証明書を表示する方法については、MSDN ライブラリの「方法: MMC スナップインを使用して証明書を参照する」を参照してください。

サポートされているリリースの Microsoft Windows への更新プログラムの適用

証明書信頼リストの自動更新ツールは、サポートされているエディションの Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2、Windows 10、および Windows 10 バージョン 1511、および Windows Phone 8、Windows Phone 8.1 および Windows 10 Mobile を実行しているデバイスに搭載されています。 これらのオペレーティング システムおよびデバイスは、CTL が自動的に更新されるため、特別な措置を講じる必要はありません。

Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 を実行しており、証明書信頼リストの自動更新ツールを使用しているシステム (詳細についてはサポート技術情報 2677070 を参照) は、CTL が自動的に更新されるため、特別な措置を講じる必要はありません。

追加の推奨されるアクション

  • コンピューターを守る

    マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従って、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。 詳細については、Microsoft セーフティとセキュリティ センターを参照してください。

  • マイクロソフトのソフトウェアを最新の状態に保つ

    マイクロソフトのソフトウェアを使用しているユーザーは、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、ユーザーのコンピューターが可能な限り保護されることを手助けするものです。 ご使用のソフトウェアが最新のものかどうか定かでない場合は、Microsoft Update にアクセスし、コンピューターをスキャンして利用可能な更新プログラムがあるかどうかを調べ、提示される優先度の高い更新プログラムをインストールしてください。 自動更新ツールが有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。

フィードバック

サポート

  • セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。 詳細については、Microsoft ヘルプとサポートを参照してください。
  • その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。 詳細については、 Microsoft サポートを参照してください。
  • Microsoft TechNet セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。 Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。 Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2015/12/01): このアドバイザリを公開しました。

Page generated 2015-11-30 09:49-08:00.
表示: