Security Advisory
マイクロソフト セキュリティ アドバイザリ 2718704
承認されていないデジタル証明書により、なりすましが行われる
公開日: 2012年6月4日 | 最終更新日: 2012年6月15日
バージョン: 1.1
概説
概要
マイクロソフトは、マイクロソフト認証機関の承認されていないデジタル証明書を使用して現在攻撃が行われていることを確認しています。承認されていない証明書は、コンテンツのなりすまし、フィッシング攻撃の実行、または中間者攻撃に悪用される可能性があります。この問題は、すべてのサポートされているリリースの Microsoft Windows に影響を及ぼします。
マイクロソフトはすべてのサポートされているリリースの Microsoft Windows に対して更新プログラムを提供しています。この更新プログラムは、次の中間 CA 証明書を失効させます:
- Microsoft Enforced Licensing Intermediate PCA (証明書 2 つ)
- Microsoft Enforced Licensing Registration Authority CA (SHA1)
推奨する対応策: サポートされているリリースの Microsoft Windows について、マイクロソフトはお客様に更新プログラム管理ソフトウェアを使用して、または Microsoft Update サービスで更新プログラムをチェックして、この更新プログラムを直ちに適用することを推奨します。詳細情報は、このセキュリティ アドバイザリの「推奨するアクション」の欄をご覧ください。
アドバイザリの詳細
問題に関するリファレンス
この問題に関する詳細情報については、次のリファレンスを参照してください。
| 参照情報 | 番号 |
|---|---|
| マイクロソフト サポート技術情報 | 2718704 |
影響を受けるソフトウェアおよびデバイス
このアドバイザリは次のソフトウェアおよびデバイスについて説明しています。
| 影響を受けるソフトウェア |
|---|
| オペレーティング システム |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 with SP2 for Itanium-based Systems |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 for 32-bit Systems Service Pack 2 |
| Windows Server 2008 for x64-based Systems Service Pack 2 |
| Windows Server 2008 for Itanium-based Systems Service Pack 2 |
| Windows 7 for 32-bit Systems |
| Windows 7 for 32-bit Systems Service Pack 1 |
| Windows 7 for x64-based Systems |
| Windows 7 for x64-based Systems Service Pack 1 |
| Windows Server 2008 R2 for x64-based |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 |
| Windows Server 2008 R2 for Itanium-based Systems |
| Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 |
| Server Core インストール オプション |
| Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core インストール) |
| Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core インストール) |
| Windows Server 2008 R2 for x64-based Systems (Server Core インストール) |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール) |
| 影響を受けないソフトウェア |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
よく寄せられる質問
なぜこのアドバイザリは 2012 年 6 月 15 日に更新されたのですか?
さらに調査を行った後、マイクロソフトは Windows Mobile 6.x、Windows Phone 7 および Windows Phone 7.5 デバイスはこの問題の影響を受けないことを確認し、これをお客様にお知らせするために、このアドバイザリを更新しました。
このアドバイザリの目的は何ですか?
このアドバイザリの目的は、2 つの承認されていない証明書がマイクロソフトにより発行され現在攻撃に使用されていることを、マイクロソフトが確認したことをお客様にお知らせするものです。また調査により、第三者認証機関が弱い暗号化の証明書を発行したことを確認しています。
マイクロソフトはすべてのサポートされるリリースの Microsoft Windows にこの問題に対応するための更新プログラムを提供しました。
この更新プログラムはその他の承認されていないデジタル証明書にも対応していますか?
はい。このアドバイザリで説明している 3 つの承認されていない証明書に加え、この更新プログラムは累積的なもので、以前のアドバイザリで説明している承認されていないデジタル証明書にも対応しています: マイクロソフト セキュリティ アドバイザリ 2524375、マイクロソフト セキュリティ アドバイザリ 2607712、およびマイクロソフト セキュリティ アドバイザリ 2641690。
Windows 8 Consumer Preview は、 このアドバイザリで説明している問題の影響を受けます か?
はい。Windows 8 Consumer Preview リリース向けの更新プログラムが利用可能です。Windows 8 Consumer Preview をご使用のお客様は、システムにこれらの更新プログラムを適用することをお勧めします。この更新プログラムは Windows Update でのみ利用可能です。
Windows 8 Release Preview は、 この アドバイザリで説明している問題の影響を受けます か?
はい。Windows 8 Release Preview リリース向けの更新プログラムが利用可能です。Windows 8 Release Preview をご使用のお客様は、システムにこれらの更新プログラムを適用することをお勧めします。この更新プログラムは Windows Update でのみ利用可能です。
暗号化とは何ですか?
暗号化とは、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号文として知られています) 間で情報を変換することにより、情報を保護する技術です。
すべての暗号化の形式で、プレーンテキスト データを暗号文に変換するために、暗号アルゴリズムと呼ばれるプロシージャと共に、キーと呼ばれる値が使用されます。最もよく知られた暗号化の種類は、秘密キーの暗号化で、暗号文が同じキーを使用してプレーンテキストに復号化されます。しかし、別の種類の暗号化である公開キーの暗号化では、暗号化テキストをプレーンテキストに復号化するために異なるキーが使用されます。
デジタル証明書とは何ですか?
公開鍵暗号 では、キーの 1 つである秘密キーと呼ばれるキーは秘密にされている必要があります。公開キーと呼ばれているもう 1 つのキーは世界で共有されることが意図されています。しかし、キーの所有者がキーが誰に属しているかを公に知らせる方法が必要になります。デジタル証明書はこれを実行する方法を提供します。デジタル証明書は改ざんができないデータの一部で、公開キーと、公開キーについての情報 (所有者情報、使用用途、有効期限、その他の関連情報) を含みます。
証明書が使用される目的は何ですか?
証明書は主に人物またはデバイスの身元の確認、サービスの認証、またはファイルの暗号化に使用されます。通常、証明書について何も考える必要はありません。しかし、証明書の有効期限が切れている、または無効であることを示すメッセージが表示されることがあります。このような場合、メッセージの説明に従ってください。
証明機関 (CA) とは何ですか?
証明機関とは、証明書を発行する組織のことです。証明機関は、人物またはその他の証明機関に属す公開キーの信頼性を確立し、検証します。また、証明書を要求する人物または組織の身元を確認します。
証明書信頼リスト (CTL) とは何ですか?
信頼は署名されたメッセージの受信者とメッセージの署名者の間で存在しければなりません。この信頼を確立するための 1 つの方法は、その機関や人物が本物かどうかを確認するための電子ドキュメントである、証明書を通して行うことです。各証明書は、両者によって信頼された第三者機関によって各機関に発行されます。そして、署名されたメッセージの各受信者は、署名者の証明書の発行元が信頼できるかどうかを決定します。CryptoAPI は、アプリケーション開発者が信頼された証明書やルートの所定のリストに対して自動的に証明書を認証するアプリケーションを作成する手法を実装しました。この信頼された機関 (いわゆる subject) のリストは、証明書信頼リスト (CTL) と呼ばれています。詳細情報は、MSDN ライブラリ Certificate Trust Verification (英語情報) をご覧ください。
この問題の原因は何ですか?
マイクロソフトは、マイクロソフト認証機関の承認されていないデジタル証明書を使用して現在攻撃が行われていることを確認しています。承認されていないデジタル証明書は、コンテンツのなりすまし、フィッシング攻撃の実行、または中間者攻撃に悪用される可能性があります。この問題は、すべてのサポートされているリリースの Microsoft Windows に影響を及ぼします。
攻撃者は、この 問題 を悪用して何を行う可能性がありますか?
攻撃者はこれらの証明書を悪用し、コンテンツのなりすまし、フィッシング攻撃の実行、または中間者攻撃を行う可能性があります。
中間者攻撃とはなんですか?
中間者攻撃は、通信中の双方のユーザーが気付くことなく、攻撃者のコンピューターを経由するように双方のユーザー間の通信が経路変更された際に発生する攻撃です。通信中の双方のユーザーは、意図した受信者とのみ通信中であると思い、気付かないまま攻撃者とトラフィックの送受信を行います。
マイクロソフトはこの問題解決の手助けを行うために何をしていますか?
マイクロソフトは信頼されていない証明書ストアを更新し、影響を受けるマイクロソフト証明書の権限を失効させました。
更新プログラムを適用した後、マイクロソフトの信頼されていない証明書ストア内の証明書をどのように確認することができますか?
証明書を表示する方法の詳細については、MSDN ライブラリの「方法:MMC スナップインを使用して証明書を参照する」を参照してください。
証明書 MMC スナップインで、次の証明書が信頼されていない証明書のフォルダーに追加されていることを確認してください。
| 証明書 | 発行者 | サムプリント |
|---|---|---|
| Microsoft Enforced Licensing Intermediate PCA | Microsoft Root Authority | 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70 |
| Microsoft Enforced Licensing Intermediate PCA | Microsoft Root Authority | 3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08 |
| Microsoft Enforced Licensing Registration Authority CA (SHA1) | Microsoft Root Certificate Authority | fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97 |
推奨するアクション
サポートされているリリースの Microsoft Windows
自動更新を有効にしている大多数のお客様には、更新プログラム KB2718704 が自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。自動更新を有効にしていない場合、この更新プログラムを手動で確認し、インストールする必要があります。自動更新の具体的な構成オプションの詳細については、サポート技術情報 294871 を参照してください。
マイクロソフトは、管理者およびエンタープライズ インストール、または更新プログラム KB2718704 の手動インストールを希望するエンド ユーザーに対し、更新プログラム管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムを確認することによって、この更新プログラムを直ちに適用することをお勧めします。この更新プログラムを手動で更新する方法については、サポート技術情報 2718704 を参照してください。
追加の推奨されるアクション
コンピューターを守る
マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。これらのステップについては、Protect Your PC Web サイトをご覧ください。
インターネットにおける安全性に関する詳細情報は、マイクロソフトのセキュリティ ホーム ページをご覧ください。
マイクロソフトのソフトウェアを最新の状態に保つ
マイクロソフトのソフトウェアをお使いのお客様は、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、お使いのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、Microsoft Update で、利用可能な更新プログラムがあるかどうかに関してコンピューターをスキャンし、提供されている優先度の高い更新プログラムをインストールして下さい。自動更新が有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。
関連情報
Microsoft Active Protections Program (MAPP)
お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。
フィードバック
- フィードバックをご提供いただく際は、マイクロソフト サポート オンラインのマイクロソフトへのご意見・ご要望のフォームへ入力をお願いします。
サポート
- セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。利用可能なサポート オプションの詳細については、マイクロソフト サポート オンラインを参照してください。
- その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフト プロダクト サポートへの連絡方法はこちらを参照してください。
- Microsoft TechNet セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。
免責
この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。
更新履歴
- V1.0 (2012/06/04):アドバイザリを公開しました。
- V1.1 (2012/06/15):このアドバイザリを更新し、お客様に Windows Mobile 6.x、Windows Phone 7 および Windows Phone 7.5 デバイスはこの問題の影響を受けないことをお知らせしました。
Built at 2014-04-18T13:49:36Z-07:00