マイクロソフト セキュリティ アドバイザリ 2607712
不正なデジタル証明書により、なりすましが行われる
公開日: 2011年8月30日 | 最終更新日: 2011年9月20日
バージョン: 5.0
概説
概要
マイクロソフトは DigiNotar (信頼されたルート証明機関ストアに含まれる証明機関) により発行された少なくとも 1 つの不正なデジタル証明書を使用して現在攻撃が行われていること確認しています。不正な証明書は、Internet Explorer ユーザーを含めたすべての Web ブラウザー ユーザーに対するコンテンツのなりすまし、フィッシング攻撃の実行、または中間者攻撃に悪用される可能性があります。これは、マイクロソフト製品の脆弱性ではありませんが、すべてのサポートされているリリースの Microsoft Windows に影響を及ぼします。
マイクロソフトはこの問題を引き続き調査しています。マイクロソフトは予備調査に基づき、2011 年 9 月 14 日に、すべてのサポートされているリリースの Microsoft Windows に対して、DigiNotar による次のルート証明書をマイクロソフトの信頼されていない証明書ストアに配置することによって失効させる新しい更新プログラム (KB2616676) を提供しました。
- DigiNotar Root CA
- DigiNotar Root CA G2
- DigiNotar PKIoverheid CA Overheid
- DigiNotar PKIoverheid CA Organisatie - G2
- DigiNotar PKIoverheid CA Overheid en Bedrijven
- Entrust により発行された DigiNotar Root CA (証明書 2 件)
- Entrust により発行された DigiNotar Services 1024 CA
- GTE CyberTrust により発行された DigiNotar Cyber CA (証明書 3 件)
推奨する対応策: マイクロソフトはお客様に更新プログラム管理ソフトウェアを使用して、または Microsoft Update サービスで更新プログラムをチェックして、この更新プログラムを適用することを推奨します。詳細情報は、このセキュリティ アドバイザリの「推奨するアクション」の欄をご覧ください。
既知の問題: サポート技術情報 2616676では、この更新プログラムをインストールする際に起こる可能性のある既知の問題に関して説明しています。また、これらの問題に対する推奨される解決策についても説明しています。
アドバイザリの詳細
問題に関するリファレンス
この問題に関する詳細情報については、次のリファレンスを参照してください。
参照情報 | 番号 |
---|---|
マイクロソフト サポート技術情報 | 2616676 |
影響を受けるソフトウェアおよびデバイス
このアドバイザリは次のソフトウェアについて説明しています。
影響を受けるソフトウェア |
---|
Windows XP Service Pack 3 |
Windows XP Professional x64 Edition Service Pack 2 |
Windows Server 2003 Service Pack 2 |
Windows Server 2003 x64 Edition Service Pack 2 |
Windows Server 2003 with SP2 for Itanium-based Systems |
Windows Vista Service Pack 2 |
Windows Vista x64 Edition Service Pack 2 |
Windows Server 2008 for 32-bit Systems Service Pack 2* |
Windows Server 2008 for x64-based Systems Service Pack 2* |
Windows Server 2008 for Itanium-based Systems Service Pack 2 |
Windows 7 for 32-bit Systems および Windows 7 for 32-bit Systems Service Pack 1 |
Windows 7 for x64-based Systems および Windows 7 for x64-based Systems Service Pack 1 |
Windows Server 2008 R2 for x64-based Systems および Windows Server 2008 R2 for x64-based Systems Service Pack 1* |
Windows Server 2008 R2 for Itanium-based Systems および Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 |
*Server Core インストールは影響を受けます。サポートされているエディションの Windows Server 2008 または Windows Server 2008 R2 では、Server Core インストール オプションを使用してインストールされているかどうかに関わらず、この更新プログラムの深刻度は同じです。このインストール オプションに関する詳細情報は、Server Core および Windows Server 2008 R2 の Server Core をご覧ください。Server Core インストール オプションは Windows Server 2008 および Windows Server 2008 R2 の特定のエディションにのみ適用する事ができます。詳細は、Server Core インストールオプションの比較をご覧ください。
影響を受けないソフトウェア |
---|
Windows Mobile 6.x |
Windows Phone 7 |
Windows Phone 7.5 |
よく寄せられる質問
なぜこのアドバイザリは 2011 年9 月 20 日に更新されたのですか?
マイクロソフトは KB2616676 の更新プログラムを再リリースしたことをお知らせするために、このアドバイザリを更新しました。この再リリースは累積的な更新プログラムで、サポート技術情報 2616676 で説明した既知の問題を解決します。このサポート技術情報で提供したオリジナルの KB2616676 の更新プログラム (サポートされているエディションの Windows XP および Windows Server 2003 のみ) は KB2607712 および KB2524375 の更新プログラムに含まれているデジタル証明書を含んでいませんでした。
サポートされているエディションの Windows XP および Windows Server 2003 をご使用のお客様は再リリース版の KB2616676 の更新プログラムを適用し、このアドバイザリで特定している不正なデジタル証明書に対する保護を行ってください。サポートされているエディションの Windows Vista、Windows 7、Windows Server 2008 および Windows Server 2008 R2 はこの更新プログラムの再リリースの影響を受けません。
注: この再リリース版のパッケージは累積的は累積的な更新プログラムであり、KB2616676、KB2607712、および KB2524375 の更新プログラムによるすべての変更を含んでいるため、これらのオリジナルの更新プログラムをすべて以前に適用している場合、サポートされているエディションの Windows XP および Windows Server 2003 をご使用のお客様には提供されません。
自動更新を有効にしている大多数のお客様には、再リリース版の KB2616676 の更新プログラムが自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。
Windows Developer Preview はこの問題の影響を受けますか?
はい。Windows Developer Preview リリース向けの更新プログラム KB2616676 が利用可能です。Windows Developer Preview をご使用のお客様は、システムにこの更新プログラムを適用することをお勧めします。この更新プログラムは Windows Update でのみ利用可能です。
なぜこのアドバイザリは 2011 年 9 月 14 日に更新されたのですか?
マイクロソフトは、この問題を解決する更新プログラム KB2616676 を公開したことをお知らせするために、このアドバイザリを更新しました。この更新プログラムは、Entrust もしくは GTE によりクロスサインされた 6 つの追加の DigiNotar ルート証明書を、マイクロソフトの信頼されていない証明書ストアに追加します。この更新プログラム KB2616676 は、以前の更新プログラム KB2607712 を置き換えます。また、以前に更新プログラム KB2607712 によりマイクロソフトの信頼されていない証明書ストアに追加された 5 つの DigiNotar ルート証明書を含みます。
新しい更新プログラム KB2616676 は、以前の更新プログラム KB2607712 を置き換えますが、以前の更新プログラム KB2607712 は新しい更新プログラム KB2616676 の前提条件ではありません。以前の更新プログラム KB2607712 が適用されているかどうかに関わらず、お客様はこのセキュリティ アドバイザリで説明している問題を解決するために、新しい更新プログラム KB2616676 を適用してください。新しい更新プログラム KB2616676 を適用したお客様は、以前の更新プログラム KB2607712 を適用する必要はありません。
なぜこのアドバイザリは 2011 年 9 月 7 日に更新されたのですか?
マイクロソフトは、この問題に対応するための更新プログラムをリリースしたことをお知らせするために、このアドバイザリを更新しました。この更新プログラムは、5 つの DigiNotar ルート証明書をマイクロソフトの信頼されていない証明書ストアに追加します。通常、大多数のお客様は自動更新を有効にしており、この更新プログラムが自動的にダウンロードおよびインストールされるため、この更新プログラムをインストールするにあたり、特別な操作は必要ありません。自動更新を有効にしていない場合、この更新プログラムを手動でインストールする方法については、サポート技術情報 2607712を参照してください。
2011 年 8 月 30 日、マイクロソフトは 証明書信頼リストを更新して、1 つの DigiNotar ルート証明書の信頼を削除しました。マイクロソフトはなぜ更新プログラムをリリースするのですか?
Windows Vista、Windows 7、Windows Server 2008、および Windows Server 2008 R2 は、マイクロソフトの証明書信頼リストを使用して証明機関の信頼性を確認しています。Windows XP および Windows Server 2003 は、証明機関の信頼性の確認にマイクロソフトの証明書信頼リストを使用していません。そのため、お客様を保護するためにはすべてのエディションの Windows XP および Windows Server 2003 向けの更新プログラムが必要でした。
2011 年 8 月 30 日の証明書信頼リストの更新後、Windows Vista、Windows 7、Windows Server 2008、および Windows Server 2008 R2 をご使用のお客様には、信頼されていない DigiNotar ルート証明書によって署名された Web サイトにアクセスすると、証明書の信頼が確認できない旨の警告メッセージが表示されました。お客様は、この警告メッセージをクリックしてサイトにアクセスすることができました。
考えられる中間者攻撃からお客様をより包括的に保護することを目的として、マイクロソフトは、信頼されていない DigiNotar ルート証明書によって署名された証明書を含む Web サイトのリソースに、Internet Explorer ユーザーがまったくアクセスできないようにすることによって、お客様の保護をさらに強化する更新プログラムをリリースしています。この更新プログラムを適用した Internet Explorer ユーザーには、上記の DigiNotar ルート証明書のいずれかによって署名されている Web サイトにアクセスしようとすると、エラー メッセージが表示されます。この場合、ユーザーは該当する Web サイトへのアクセスを継続できません。
KB2616676 の更新プログラムはどのように問題を修正しますか? すべてのサポートされているリリースの Microsoft Windows に対し、更新プログラム KB2616676 は 11 個の DigiNotar ルート証明書をマイクロソフトの信頼されていない証明書ストアに追加することにより、この問題を修正します。さらに、KB2616676 の更新プログラムは 2011 年 7 月 7 日にリリースした KB2524375 の更新プログラムに含まれている証明書も含んでいます。
TLS で暗号化され、信頼されていない DigiNotar ルート証明書によって署名されている Web サイトにアクセスしようとしたときのユーザー エクスペリエンスは、この更新プログラムによりどのように変わりますか? 信頼されていない DigiNotar ルート証明書によって署名されている Web サイトにアクセスしようとした Internet Explorer ユーザーにはエラー メッセージが表示されます。この証明書がマイクロソフトの信頼されていない証明書ストアに含まれているという事実に基づき、Internet Explorer はユーザーによる Web サイトへのアクセスを許可しません。該当する Web サイトには、信頼されたルート証明書によって署名された新しい証明書で Web サイトの証明書が置き換えられるまで、アクセスできません。
更新プログラムを適用した後、マイクロソフトの信頼されていない証明書ストア内の証明書をどのように確認することができますか?
証明書を表示する方法の詳細については、MSDN ライブラリの「方法: MMC スナップインを使用して証明書を参照する」を参照してください。
MMC の証明書スナップインで、次の証明書が信頼されていない証明書のフォルダーに追加されていることを確認してください。
証明書 | 発行者 | サムプリント | 更新プログラム* |
---|---|---|---|
DigiNotar Root CA | DigiNotar Root CA | c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c | KB2607712, KB2616676 |
DigiNotar Root CA G2 | DigiNotar Root CA G2 | 43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3 | KB2607712, KB2616676 |
DigiNotar PKIoverheid CA Overheid | Staat der Nederlanden Overheid CA | b5 33 34 5d 06 f6 45 16 40 3c 00 da 03 18 7d 3b fe f5 91 56 | KB2607712, KB2616676 |
DigiNotar PKIoverheid CA Organisatie - G2 | Staat der Nederlanden Organisatie CA - G2 | 5d e8 3e e8 2a c5 09 0a ea 9d 6a c4 e7 a6 e2 13 f9 46 e1 79 | KB2607712, KB2616676 |
DigiNotar PKIoverheid CA Overheid en Bedrijven | Staat der Nederlanden Overheid CA | 40 aa 38 73 1b d1 89 f9 cd b5 b9 dc 35 e2 13 6f 38 77 7a f4 | KB2607712, KB2616676 |
DigiNotar Root CA | Entrust.net Secure Server Certification Authority | 86 e8 17 c8 1a 5c a6 72 fe 00 0f 36 f8 78 c1 95 18 d6 f8 44 | KB2616676 |
DigiNotar Root CA | Entrust.net Secure Server Certification Authority | 36 7d 4b 3b 4f cb bc 0b 76 7b 2e c0 cd b2 a3 6e ab 71 a4 eb | KB2616676 |
DigiNotar Services 1024 CA | Entrust.net Secure Server Certification Authority | f8 a5 4e 03 aa dc 56 92 b8 50 49 6a 4c 46 30 ff ea a2 9d 83 | KB2616676 |
DigiNotar Cyber CA | GTE CyberTrust Global Root | b8 6e 79 16 20 f7 59 f1 7b 8d 25 e3 8c a8 be 32 e7 d5 ea c2 | KB2616676 |
DigiNotar Cyber CA | GTE CyberTrust Global Root | 2b 84 bf bb 34 ee 2e f9 49 fe 1c be 30 aa 02 64 16 eb 22 16 | KB2616676 |
DigiNotar Cyber CA | GTE CyberTrust Global Root | 98 45 a4 31 d5 19 59 ca f2 25 32 2b 4a 4f e9 f2 23 ce 6d 15 | KB2616676 |