マイクロソフト セキュリティ アドバイザリ 2641690
不正なデジタル証明書により、なりすましが行われる
公開日: 2011年11月11日 | 最終更新日: 2012年1月23日
バージョン: 3.0
概説
概要
マイクロソフトは、 Entrust および GTE CyberTrust に信頼された、マレーシアの下位の証明機関 (CA) である DigiCert Sdn. Bhd が、脆弱な 512 ビット キーによる 22 個の証明書を発行したことを認識しています。これらの脆弱な暗号キーは破損した場合に、攻撃者が不正な証明を、Internet Explorer ユーザーを含めたすべての Web ブラウザー ユーザーに対するコンテンツのなりすまし、フィッシング攻撃の実行、または中間者攻撃に悪用する可能性があります。これは、マイクロソフト製品の脆弱性ではありませんが、すべてのサポートされているリリースの Microsoft Windows に影響を及ぼします。
DigiCert Sdn. Bhd は、 Microsoft Root Certificate Program のメンバーである、DigiCert, Inc. には加入していません。
不正に発行されたことを示す手がかりはなく、 暗号化された脆弱なキーは、証明書を複製して不正な行為を行うことを可能にします。
マイクロソフトは、すべてのサポートされているリリースの Microsoft Windows に対して、DigiCert Sdn. Bhd への信頼を失効させる更新プログラムを提供しています。この更新プログラムは、次の 2 つの中間証明機関による証明書を失効させます。
- Entrust.net Certification Authority (2048) によって発行された、Digisign Server ID – (Enrich)
- GTE CyberTrust Global Root によって発行された、Digisign Server ID (Enrich)
推奨する対応策: マイクロソフトはお客様に更新プログラム管理ソフトウェアを使用して、または Microsoft Update サービスで更新プログラムをチェックして、この更新プログラムを直ちに適用することを推奨します。詳細情報は、このセキュリティ アドバイザリの「推奨するアクション」の欄を参照してください。
既知の問題 サポート技術情報 2641690 で、このセキュリティ更新プログラムをインストールする際に起こる可能性のある既知の問題に関して説明しています。また、これらの問題に対する推奨される解決策についても説明しています。
アドバイザリの詳細
問題に関するリファレンス
この問題に関する詳細情報については、次のリファレンスを参照してください。
| 参照情報 | 番号 |
|---|---|
| マイクロソフト サポート技術情報 | 2641690 |
影響を受けるソフトウェアおよびデバイス
このアドバイザリは次のソフトウェアについて説明しています。
| 影響を受けるソフトウェア |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 with SP2 for Itanium-based Systems |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 for 32-bit Systems Service Pack 2* |
| Windows Server 2008 for x64-based Systems Service Pack 2* |
| Windows Server 2008 for Itanium-based Systems Service Pack 2 |
| Windows 7 for 32-bit Systems および Windows 7 for 32-bit Systems Service Pack 1 |
| Windows 7 for x64-based Systems および Windows 7 for x64-based Systems Service Pack 1 |
| Windows Server 2008 R2 for x64-based Systems および Windows Server 2008 R2 for x64-based Systems Service Pack 1* |
| Windows Server 2008 R2 for Itanium-based Systems および Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 |
*Server Core インストールは影響を受けます。サポートされているエディションの Windows Server 2008 または Windows Server 2008 R2 では、Server Core インストール オプションを使用してインストールされているかどうかに関わらず、このアドバイザリが適用されます。このインストール オプションの詳細については、TechNet の記事 Server Core および Windows Server 2008 R2 の Server Core を参照してください。Windows Server 2008 および Windows Server 2008 R2 の特定のエディションでは、Server Core インストール オプションが使用できないことに注意してください。詳細については、Server Core インストール オプションの比較を参照してください。
| 影響を受けるデバイス |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
よく寄せられる質問
なぜこのアドバイザリは 2012 年 1 月 23 日に更新されたのですか?
マイクロソフトは、Windows Mobile 6.x、Windows Phone 7 および Windows Phone 7.5 デバイス用の更新プログラムのリリースをお知らせするために、このアドバイザリを更新しました。詳細については、サポート技術情報 2641690 を参照してください。
なぜ、このアドバイザリは、2011 年 11 月 17 日に更新されたのですか?
マイクロソフトは、このアドバイザリを Windows XP Professional x64 Edition Service Pack 2 および、すべてのサポートされている Windows Server 2003 に対する更新プログラムである KB2641690 の再リリースをお知らせするために更新しました。この再リリースは、Windows Server Update Services (WSUS) をご使用したお客様から報告のあった、適用する更新プログラムがどこにあるかが、正しく検出されないという問題を解決します。
Windows XP Professional x64 Edition Service Pack 2 および、すべてのサポートされているエディションの Windows Server 2003 をお使いのお客様は、このアドバイザリに記述されているように、不正な証明書の使用に対して防御するために、再リリースされたバージョンの KB2641690 を適用することを推奨します。Windows XP Service Pack 3 および、サポートされているエディションの Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 は、この再リリースの影響を受けません。
自動更新を有効にしている大多数のお客様には、更新プログラムKB2641690 が自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。
このアドバイザリの目的は何ですか?
このアドバイザリの目的は、DigiCert Sdn.Bhd が、 脆弱な 512 ビット キーによる、22 個の証明書を発行したことをお客様に知らせることです。これらの脆弱なキーは、なりすましによる認証を可能にします。マイクロソフトは、2 つの中間証明機関による証明書を、マイクロソフトの信頼されていない証明書ストアに移動する更新プログラムによって、この証明機関に対する信頼を失効しました。
この問題の原因は何ですか?
マイクロソフトは、Microsoft Root Certificate Program の証明機関である Entrust から、彼らの下位の証明機関である DigiCert Sdn.Bhd が、 脆弱な 512 ビット キーによる 22 個の証明書を発行したと知らされました。さらに、この下位の証明機関は、適切な使用の延長、または失効の情報のない証明書を発行しました。このことはマイクロソフト ルート証明書プログラムの要件に違反しています。
不正に発行されたことを示す兆候はありません。暗号化された脆弱なキーは、証明書を複製して不正な行為を行うことを可能にします。Entrust および GTE CyberTrust は、DigiCert Sdn. Bhd に発行した中間証明機関 (CA) の証明書を失効しました。マイクロソフトは、お客様を保護するために、これらの 2 つの中間証明書の信頼を失効するための証明書を提供しています。
攻撃者はどのように証明書を複製しますか?
デジタル署名は、証明書の秘密キーを保持している者のみが、作成できます。攻撃者は、数学的な技術を使用して、推測が正しいかどうかを決定し、秘密キーの推測を試みます。秘密キーの推測の成功を困難にすることは、キーに使用されるビット数に比例します。そのため、キーが長くなるほど、攻撃者が秘密キーを推測することは、困難になります。現代のハードウェアを使用した場合、512 ビットキーは、わずかな時間での推測が可能です。
攻撃者はどのように不正な証明を悪用しますか?
攻撃者は 512 ビットの証明を、Internet Explorer ユーザーを含めたすべての Web ブラウザー ユーザーに対するコンテンツのなりすまし、フィッシング攻撃の実行、または中間者攻撃に悪用する可能性があります。
マイクロソフトはこの問題を解決するためにどのような協力を行いますか?
この問題は、いずれのマイクロソフト製品にも原因はありませんが、Entrust および GTE CyberTrust によって発行された、2つの中間証明書を、マイクロソフトの信頼されていない証明書ストアに移動する更新プログラムをリリースしました。マイクロソフトは、お客様が直ちにこの更新プログラムを適用されることを推奨します。
中間者攻撃とはなんですか?
中間者攻撃は、通信中の双方のユーザーが気付くことなく、攻撃者のコンピューターを経由するように双方のユーザー間の通信が経路変更された際に発生する攻撃です。通信中の双方のユーザーは、意図した受信者とのみ通信中であると思い、気付かないまま攻撃者とトラフィックの送受信を行います。
証明機関 (CA) とは何ですか?
証明機関とは、証明書を発行する組織のことです。証明機関は、人物またはその他の証明機関に属す公開キーの信頼性を確立し、検証します。また、証明書を要求する人物または組織の身元を確認します。
どのような手順で証明書を失効させるのですか?
この証明書が使用された場合、証明書の承認を防ぐことができる、標準プロセスが存在します。各証明書の発行者は、定期的に証明書失効リスト (CRL) を生成します。これは無効とされるべきすべての証明書をリストしたものです。各証明書は、CRL 配布ポイント (CDP) と呼ばれるデータを提供する必要があります。このデータは、証明書失効リスト (CRL) を取得可能なロケーションを示すデータです。
Web ブラウザーがデジタル証明書の身元を確認する別の方法は、オンライン証明書状態プロトコル (OCSP) を使用することです。OCSP は、デジタル証明書に署名した証明機関 (CA) によりホストされている OCSP レスポンダーに接続することにより、証明書の対話的な確認を可能にします。すべての証明書は機関情報アクセス (AIA) エクステンションにより OCSP レスポンダーの場所へのポインターを提供する必要があります。さらに、OCSP ステープリングにより Web サーバー自体が OCSP 検証応答をクライアントに提供することができます。
OCSP 検証は既定で、サポートされているエディションの Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 上の Internet Explorer 7 およびそれ以降のバージョンの Internet Explorer で有効となっています。これらのオペレーティング システムでは、OCSP 検証のチェックが失敗した場合、ブラウザーが CRL の場所に接続することにより、証明書を検証します。
いくつかのネットワーク配置では、オンラインでの OCSP または CRL の更新プログラムが適用できない場合があります。そこでマイクロソフトは、すべてのバージョンの Microsoft Windows 用に、これらの証明書をマイクロソフトの信頼されていない証明書ストアに追加する、更新プログラムをリリースしました。これらの証明書をマイクロソフトの信頼されていない証明書ストアに移動することで、これらの不正な証明書がすべてのネットワーク配置のシナリオで信頼されないことを確実にします。
証明書の失効のチェックに関する詳細については、TechNet の記事「Certificate Revocation and Status Checking」 (英語情報) を参照してください。
無効な証明書のエラーが発生した場合、それはどのように分かるのですか?
Internet Explorer が無効な証明書に遭遇すると、ユーザーに「この Web サイトのセキュリティ証明書には問題があります。」と通知する Web ページが表示されます。この警告メッセージが表示された場合、ユーザーは Web ページを閉じ、そのサイトから移動することを推奨します。
証明書失効リスト (CRL) またはオンライン証明書状態プロトコル (OCSP) 検証が有効である場合など、証明書が無効であると確認された場合のみ、ユーザーにこのメッセージが表示されます。OCSP 検証は既定で、サポートされているエディションの Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2 上の Internet Explorer 7 およびそれ以降のバージョンの Internet Explorer で有効となっています。
更新プログラムを適用した後、マイクロソフトの信頼されていない証明書ストア内の証明書をどのように確認することができますか?
証明書を表示する方法の詳細については、MSDN ライブラリの「方法:MMC スナップインを使用して証明書を参照する」を参照してください。
証明書 MMC スナップインで、次の証明書が信頼されていない証明書のフォルダーに追加されていることを確認してください。
| 証明書 | 発行者 | サムプリント |
|---|---|---|
| Digisign Server ID - (Enrich) | Entrust.net Certification Authority (2048) | 8e 5b d5 0d 6a e6 86 d6 52 52 f8 43 a9 d4 b9 6d 19 77 30 ab |
| Digisign Server ID (Enrich) | GTE CyberTrust Global Root | 51 c3 24 7d 60 f3 56 c7 ca 3b af 4c 3f 42 9d ac 93 ee 7b 74 |
推奨するアクション
サポートされているリリースの Microsoft Windows
自動更新を有効にしている大多数のお客様には、更新プログラム KB2641690 が自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。自動更新を有効にしていない場合、この更新プログラムを手動で確認し、インストールする必要があります。自動更新の具体的な構成オプションの詳細については、サポート技術情報 294871 を参照してください。
管理者およびエンタープライズ インストール、またはこのセキュリティ更新プログラムを手動でインストールしたいエンド ユーザーについては、マイクロソフトは更新プログラム管理ソフトウェアまたは Microsoft Update サービスを使用して更新プログラムを確認してこの累積的な更新プログラムを直ちに適用することを推奨します。この更新プログラムを手動で更新する方法については、サポート技術情報 2641690 を参照してください。
Windows Mobile 6.x、Windows Phone 7 および Windows Phone 7.5 デバイス
Windows Mobile 6.x、Windows Phone 7 および Windows Phone 7.5 デバイス用の更新プログラムに関する情報は、マイクロソフト サポート技術情報 2641690を参照してください。
追加の推奨されるアクション
コンピューターの保護
マイクロソフトは、お客様が引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。これらのステップについては、「PC セキュリティ」を参照してください。
インターネットにおける安全性の詳細については、「セーフティとセキュリティ センター」を参照してください。
マイクロソフトのソフトウェアを最新の状態に保つ
マイクロソフトのソフトウェアを使用しているユーザーは、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、ユーザーのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合は、Microsoft Update にアクセスし、コンピューターをスキャンして利用可能な更新プログラムがあるかどうかを調べ、提示される優先度の高い更新プログラムをインストールしてください。自動更新が有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。
関連情報
Microsoft Active Protections Program (MAPP)
お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。
フィードバック
- フィードバックをご提供いただく際は、マイクロソフト サポート オンラインのマイクロソフトへのご意見・ご要望のフォームへ入力をお願いします。
サポート
- セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。利用可能なサポート オプションの詳細については、マイクロソフト サポート オンラインを参照してください。
- その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフト プロダクト サポートへの連絡方法はこちらを参照してください。
- Microsoft TechNet セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。
免責
この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。
更新履歴
- V1.0 (2011/11/11):アドバイザリを公開しました。
- V2.0 (2011/11/17):更新プログラム KB2641690 の再リリースをお知らせするために更新しました。詳細情報はこのアドバイザリの「よく寄せられる質問」を参照してください。また「概要」内の「既知の問題」の下に、マイクロソフト サポート技術情報 2641690 へのリンクを追加しました。
- V3.0 (2012/01/23):マイクロソフトは、Windows Mobile 6.x、Windows Phone 7 および Windows Phone 7.5 デバイス用の更新プログラムのリリースをお知らせするために、このアドバイザリを更新しました。
Built at 2014-04-18T13:49:36Z-07:00