セキュリティ アドバイザリ
Microsoft セキュリティ アドバイザリ 2728973
承認されていないデジタル証明書がスプーフィングを許可する可能性がある
公開日: 2012 年 7 月 10 日 |更新日: 2012 年 9 月 5 日
バージョン: 1.2
一般情報
概要
Microsoft は、Microsoft の推奨されるセキュリティで保護されたストレージプラクティスの外部にある Microsoft 証明機関を認識しています。 定期的なレビューでは、これらの証明書を信頼されていない証明書ストアに配置し、公開キー インフラストラクチャ (PKI) 管理の高い標準を満たす新しい証明機関に置き換えます。 証明機関の誤用は認識されませんが、顧客を保護するための先制的な措置を取っています。 この問題は、Microsoft Windows でサポートされているすべてのリリースに影響します。
Microsoft は、サポートされているすべてのリリースの Microsoft Windows の更新プログラムを提供しています。 この更新プログラムでは、信頼されていない証明書ストアに次の中間 CA 証明書が配置されます。
- Microsoft Genuine Windows Phone パブリック プレビュー CA01
- Microsoft IPTVe CA
- Microsoft Online CA001
- Microsoft Online Svcs BPOS APAC CA1
- Microsoft Online Svcs BPOS APAC CA2
- Microsoft Online Svcs BPOS APAC CA3
- CN=Microsoft Online Svcs BPOS APAC CA4
- Microsoft Online Svcs BPOS APAC CA5
- Microsoft Online Svcs BPOS APAC CA6
- Microsoft Online Svcs BPOS CA1
- Microsoft Online Svcs BPOS CA2
- Microsoft Online Svcs BPOS CA2 (2 つの証明書)
- Microsoft Online Svcs BPOS EMEA CA1
- Microsoft Online Svcs BPOS EMEA CA2
- Microsoft Online Svcs BPOS EMEA CA3
- Microsoft Online Svcs BPOS EMEA CA4
- Microsoft Online Svcs BPOS EMEA CA5
- Microsoft Online Svcs BPOS EMEA CA6
- Microsoft Online Svcs CA1 (2 つの証明書)
- Microsoft Online Svcs CA3 (2 つの証明書)
- Microsoft Online Svcs CA4 (2 つの証明書)
- Microsoft Online Svcs CA5 (2 つの証明書)
- Microsoft Online Svcs CA6
推薦。 Microsoft Windows のサポートされているリリースでは、お客様が更新プログラムを直ちに適用することをお勧めします。 詳細については、このアドバイザリの 「推奨されるアクション」 セクションを参照してください。
既知の問題。Microsoft サポート技術情報の記事2728973 、お客様がこの更新プログラムをインストールするときに発生する可能性がある現在の既知の問題について説明しています。
アドバイザリの詳細
問題の参照
この問題の詳細については、次のリファレンスを参照してください。
| リファレンス | 識別 |
|---|---|
| Microsoft サポート技術情報の記事 | 2728973 |
影響を受けるソフトウェアとデバイス
このアドバイザリでは、次の影響を受けるソフトウェアとデバイスについて説明します。
| 影響を受けるソフトウェア |
|---|
| オペレーティング システム |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 と ITanium ベースのシステム用 SP2 |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 for 32 ビット システム Service Pack 2 |
| Windows Server 2008 for x64 ベースのシステム Service Pack 2 |
| Windows Server 2008 for Itanium ベースのシステム Service Pack 2 |
| 32 ビット システム用 Windows 7 |
| Windows 7 for 32 ビット システム Service Pack 1 |
| Windows 7 for x64 ベースのシステム |
| Windows 7 for x64 ベースのシステム Service Pack 1 |
| x64 ベースの Windows Server 2008 R2 |
| Windows Server 2008 R2 for x64 ベースのシステム Service Pack 1 |
| Windows Server 2008 R2 for Itanium-based Systems |
| Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1 |
| Server Core インストール オプション |
| Windows Server 2008 for 32 ビット システム Service Pack 2 (Server Core インストール) |
| Windows Server 2008 for x64 ベースのシステム Service Pack 2 (Server Core インストール) |
| x64 ベースのシステム用 Windows Server 2008 R2 (Server Core インストール) |
| Windows Server 2008 R2 for x64 ベースのシステム Service Pack 1 (Server Core インストール) |
| 影響を受けないもの |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
よく寄せられる質問
アドバイザリの範囲は何ですか?
このアドバイザリの目的は、Microsoft が推奨されるセキュリティで保護されたストレージ プラクティスの外部にある Microsoft 証明機関を Microsoft が認識していることをお客様に通知することです。 定期的な見直しを行い、注意を払って、これらの証明書を信頼されていない証明書ストアに配置し、高い標準の公開キー インフラストラクチャ (PKI) 管理を満たす新しい証明機関に置き換えます。 証明機関の誤用は認識されませんが、顧客を保護するための先制的な措置を取っています。 この問題は、Microsoft Windows でサポートされているすべてのリリースに影響します。
Microsoft は、この問題に対処する Microsoft Windows のサポートされているすべてのリリースの更新プログラムを発行しました。
この更新プログラムは、承認されていない他のデジタル証明書に対処しますか?
はい。このアドバイザリで説明されている 28 の未承認の証明書に対処するだけでなく、この更新プログラムは累積的であり、前のアドバイザリで説明した未承認のデジタル証明書 ( Microsoft セキュリティ アドバイザリ 2524375、 Microsoft セキュリティ アドバイザリ 2607712、 Microsoft セキュリティ アドバイザリ 2641690、 Microsoft セキュリティ アドバイザリ 2718704) に対応しています。
この更新プログラムは、前のアドバイザリで説明した証明書に対応していますが、この更新プログラムには、以前のアドバイザリで導入されたすべての機能が含まれているわけではありません。 詳細については、「 Microsoft サポート技術情報の記事2728973の既知の問題」を参照してください。
Windows 8 リリース プレビューまたは Windows Server 2012 リリース候補は、このアドバイザリで対処された問題の影響を受けますか?
はい。 この更新プログラムは、Windows 8 リリース プレビューと Windows Server 2012 リリース候補で使用できます。 Windows 8 リリース プレビューと Windows Server 2012 リリース候補をお持ちのお客様は、システムに更新プログラムを適用することをお勧めします。 Windows 8 リリース プレビューと Windows Server 2012 リリース プレビューの更新プログラムを適用する方法については、このアドバイザリの 「推奨されるアクション」 セクションを参照してください。
暗号化とは
暗号化は、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号テキストと呼ばれます) の間で変換することで、情報をセキュリティで保護する科学です。
あらゆる形式の暗号化では、キーと呼ばれる値が暗号アルゴリズムと呼ばれるプロシージャと組み合わせて使用され、プレーンテキスト データが暗号テキストに変換されます。 最も使い慣れた種類の暗号化(秘密鍵暗号化)では、暗号テキストは同じキーを使用してプレーンテキストに変換されます。 ただし、2 番目の種類の暗号化である公開キー暗号化では、暗号化テキストをプレーンテキストに変換するために別のキーが使用されます。
デジタル証明書とは
公開キー暗号化では、秘密キーと呼ばれるキーの 1 つを秘密にしておく必要があります。 公開キーと呼ばれるもう 1 つのキーは、世界と共有することを目的としています。 ただし、キーの所有者がキーが属するユーザーを世界に伝える方法が必要です。 デジタル証明書は、これを行う方法を提供します。 デジタル証明書は、公開キーに関する情報 (誰が公開キーを所有するか、何に使用できるか、有効期限が切れたときなど) と共にパッケージ化する改ざん防止データです。
証明書は何に使用されますか?
証明書の主な使用目的は、個人またはデバイスの身元の保証、サービスの認証、またはファイルの暗号化です。 通常、証明書についてまったく考慮する必要はありません。 ただし、証明書の有効期限が切れている場合や、証明書が無効である場合は、そのことを示すメッセージが表示されることがあります。 そのような場合は、メッセージの指示に従う必要があります。
証明機関 (CA) とは 証明機関とは、証明書を発行する組織です。 ユーザーまたはその他の証明機関に属する公開キーの信頼性を確立して検証し、証明書を要求する個人またはorganizationの ID を検証します。
証明書信頼リスト (CTL) とは 署名されたメッセージの受信者とメッセージの署名者の間に信頼が存在する必要があります。 この信頼を確立する方法の 1 つは、証明書 (エンティティまたは個人が本人であることを確認する電子ドキュメント) を使用することです。 証明書は、両方の当事者によって信頼されているサード パーティによってエンティティに発行されます。 そのため、署名済みメッセージの各受信者は、署名者の証明書の発行者が信頼できるかどうかを決定します。 CryptoAPI には、アプリケーション開発者が、定義済みの信頼された証明書またはルートの一覧に対して証明書を自動的に検証するアプリケーションを作成できるようにする手法が実装されています。 この信頼されたエンティティの一覧 (サブジェクトと呼ばれます) は、証明書信頼リスト (CTL) と呼ばれます。 詳細については、MSDN の「 証明書の信頼の検証」を参照してください。
問題の原因は何ですか?
Microsoft は、Microsoft の推奨されるセキュリティで保護されたストレージプラクティスの外部にある Microsoft 証明機関を認識しています。 証明機関の誤用は認識されませんが、顧客を保護するための先制的な措置を取っています。
攻撃者がこの問題を使用して何を行う可能性がありますか?
攻撃者は、これらの証明書を使用して、コンテンツのなりすまし、フィッシング攻撃の実行、中間者攻撃の実行を行う可能性があります。
中間者攻撃とは
中間者攻撃は、攻撃者が 2 人のユーザーの情報を知らなくても、攻撃者のコンピューターを介して 2 人のユーザー間の通信を再ルーティングするときに発生します。 通信中の各ユーザーは、意図したユーザーとだけ通信していると考えながら、知らずに攻撃者との間でトラフィックを送受信します。
この問題の解決に役立つ Microsoft は何をしていますか?
影響を受ける Microsoft 証明機関を信頼されていない証明書ストアに配置し、公開キー インフラストラクチャ (PKI) 管理の高い標準を満たす新しい証明機関に置き換えました。
更新プログラムを適用した後、Microsoft 信頼されていない証明書ストア内の証明書を確認するにはどうすればよいですか?
Windows 8 リリース プレビューや Windows Server 2012 リリース候補など、失効した証明書の自動アップデーターを使用するシステム (詳細については、「Microsoft サポート技術情報の記事の2677070」を参照)、次の値を持つエントリのアプリケーション ログをイベント ビューアーにチェックできます。
- ソース: CAPI2
- レベル: Information
- イベント ID: 4112
- 説明: 有効日が 2012 年 6 月 21 日 (またはそれ以降) の許可されていない証明書リストの自動更新に成功しました。
失効した証明書の自動アップデーターを使用していないシステムの場合は、 証明書 MMC スナップインで、次の証明書が [信頼されていない証明書 ] フォルダーに追加されていることを確認します。
| Certificate | 発行元 | Thumbprint |
|---|---|---|
| Microsoft Genuine Windows Phone パブリック プレビュー CA01 | Microsoft Windows Phone PCA | e3 8a 2b 76 63 b8 67 96 43 6d 8d f5 89 8d 9f aa 68 35 b2 38 |
| Microsoft IPTVe CA | Microsoft Home Entertainment PCA | be d4 12 b1 33 4d 7d fc eb a3 01 5e 5f 9f 90 5d 57 1c 45 cf |
| Microsoft Online CA001 | Microsoft Services PCA | a1 50 5d 98 43 c8 26 dd 67 ed 4e a5 20 98 04 bd bb 0d f5 02 |
| Microsoft Online Svcs BPOS APAC CA1 | Microsoft Services PCA | d4 31 53 c8 c2 5f 00 41 28 79 87 25 0f 1e 3c ab ac 8c 21 77 |
| Microsoft Online Svcs BPOS APAC CA2 | Microsoft Services PCA | d8 ce 8d 07 f9 f1 9d 25 69 c2 fb 85 44 01 bc 99 c1 eb 7c 3b |
| Microsoft Online Svcs BPOS APAC CA3 | Microsoft Services PCA | e9 5d d8 6f 32 c7 71 f0 34 17 43 eb d7 5e c3 3c 74 a3 de d9 |
| CN=Microsoft Online Svcs BPOS APAC CA4 | Microsoft Services PCA | 3a 26 01 21 71 85 5d 40 20 c9 73 be c3 f4 f9 da 45 bd 2b 83 |
| Microsoft Online Svcs BPOS APAC CA5 | Microsoft Services PCA | d0 bb 3e 3d fb fb 86 c0 ee e2 a0 47 e3 28 60 9e 6e 1f 18 5e |
| Microsoft Online Svcs BPOS APAC CA6 | Microsoft Services PCA | 08 73 8a 96 a4 85 3a 52 ac ef 23 f7 82 e8 e1 fe a7 bc ed 02 |
| Microsoft Online Svcs BPOS CA1 | Microsoft Services PCA | 76 13 bf 0b a2 61 00 6c ac 3e d2 dd be f3 43 42 53 57 f1 8b |
| Microsoft Online Svcs BPOS CA2 | Microsoft Services PCA | 58 7b 59 fb 52 d8 a6 83 cb e1 ca 00 e6 39 3d 7b b9 23 bc 92 |
| Microsoft Online Svcs BPOS CA2 | Microsoft Services PCA | 4e d8 aa 06 d1 bc 72 ca 64 c4 7b 1d fe 05 ac c8 d5 1f c7 6f |
| Microsoft Online Svcs BPOS CA2 | Microsoft Services PCA | f5 a8 74 f3 98 7e b0 a9 96 1a 56 4b 66 9a 90 50 f7 70 30 8a |
| Microsoft Online Svcs BPOS EMEA CA1 | Microsoft Services PCA | a3 5a 8c 72 7e 88 bc ca 40 a3 f9 67 9c e8 ca 00 c2 67 89 fd |
| Microsoft Online Svcs BPOS EMEA CA2 | Microsoft Services PCA | e9 80 9e 02 3b 45 12 aa 4d 4d 53 f4 05 69 c3 13 c1 d0 29 4d |
| Microsoft Online Svcs BPOS EMEA CA3 | Microsoft Services PCA | a7 b5 53 1d dc 87 12 9e 2c 3b b1 47 67 95 3d 67 45 fb 14 a6 |
| Microsoft Online Svcs BPOS EMEA CA4 | Microsoft Services PCA | 33 0d 8d 3f d3 25 a0 e5 fd dd a2 70 13 a2 e7 5e 71 30 16 5f |
| Microsoft Online Svcs BPOS EMEA CA5 | Microsoft Services PCA | 09 27 1d d6 21 eb d3 91 0c 2e a1 d0 59 f9 9b 81 81 40 5a 17 |
| Microsoft Online Svcs BPOS EMEA CA6 | Microsoft Services PCA | 83 8f fd 50 9d e8 68 f4 81 c2 98 19 99 2e 38 a4 f7 08 28 73 |
| Microsoft Online Svcs CA1 | Microsoft Services PCA | 23 ef 33 84 e2 1f 70 f0 34 c4 67 d4 cb a6 eb 61 42 9f 17 4e |
| Microsoft Online Svcs CA1 | Microsoft Services PCA | a2 21 d3 60 30 9b 5c 3c 40 97 c4 4c c7 79 ac c5 a9 84 5b 66 |
| Microsoft Online Svcs CA3 | Microsoft Services PCA | 89 77 e8 56 9d 2a 63 3a f0 1d 03 94 85 16 81 ce 12 26 83 a6 |
| Microsoft Online Svcs CA3 | Microsoft Services PCA | 37 4d 5b 92 5b 0b d8 34 94 e6 56 eb 80 87 12 72 75 db 83 ce |
| Microsoft Online Svcs CA4 | Microsoft Services PCA | 66 90 c0 2b 92 2c bd 3f f0 d0 a5 99 4d bd 33 65 92 88 7e 3f |
| Microsoft Online Svcs CA4 | Microsoft Services PCA | 5d 51 85 df 1e b7 dc 76 01 54 22 ec 81 38 a5 72 4b ee 28 86 |
| Microsoft Online Svcs CA5 | Microsoft Services PCA | a8 17 06 d3 1e 6f 5c 79 1c d9 d3 b1 b9 c6 34 64 95 4b a4 f5 |
| Microsoft Online Svcs CA5 | Microsoft Services PCA | 4d f1 39 47 49 3c ff 69 cd e5 54 88 1c 5f 11 4e 97 c3 d0 3b |
| Microsoft Online Svcs CA6 | Microsoft Services PCA | 09 ff 2c c8 6c ee fa 8a 8b b3 f2 e3 e8 4d 6d a3 fa bb f6 3e |
メモ MMC スナップインで証明書を表示する方法については、MSDN の記事「 方法: MMC スナップインを使用して証明書を表示する」を参照してください。
Suggested Actions (推奨されるアクション)
Windows XP および Windows Server 2003 のサポートされているエディションの場合
ほとんどのお客様は自動更新を有効にしており、KB2728973 更新プログラムが自動的にダウンロードされてインストールされるため、何も行う必要はありません。 自動更新を有効にしていないお客様は、更新プログラムをチェックし、この更新プログラムを手動でインストールする必要があります。 自動更新の特定の構成オプションについては、「 Microsoft サポート技術情報の記事 294871」を参照してください。
管理者とエンタープライズ インストールの場合、または KB2728973 更新プログラムを手動でインストールするエンド ユーザーの場合は、更新プログラム管理ソフトウェアを使用するか、 Microsoft Update サービスを使用して更新プログラムを確認して、更新プログラムを直ちに適用することをお勧めします。 更新プログラムを手動で適用する方法の詳細については、「 Microsoft サポート技術情報の記事 2728973」を参照してください。
Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8 リリース プレビュー、および Windows Server 2012 リリース プレビューのサポートされているエディションの場合
失効した証明書の自動更新機能は、信頼されていない証明書ストアに証明書を自動的に追加することで問題に対処するため、ほとんどのお客様は自動更新を有効にしており、アクションを実行する必要はありません。
失効した証明書の自動アップデーターは、 Microsoft Update サービスを通じて Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 で使用でき、 Microsoft サポート技術情報の記事 2677070で説明されています。 信頼されていない証明書の自動アップデーターは、Windows 8 リリース プレビューと Windows Server 2012 リリース候補に含まれています。
失効した証明書 (2677070) の自動アップデーターを持っていないエンド ユーザー、またはインターネットに接続されていないシステムの場合は、お客様が KB2728973 更新プログラムを直ちに手動で適用することをお勧めします。 手動で更新プログラムを適用する方法の詳細については、「 Microsoft サポート技術情報の記事 2728973」を参照してください。
管理者とエンタープライズ インストールの場合、Microsoft では、お客様が更新プログラム管理ソフトウェアを使用して直ちに更新プログラムを適用することをお勧めします。 更新プログラムの詳細については、「 Microsoft サポート技術情報の記事2728973」を参照してください。
その他の推奨アクション
PC を保護する
引き続き、ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関するコンピューターの保護に関するガイダンスに従うことをお客様にお勧めします。 お客様は、 コンピューターの保護に関するページを参照して、これらの手順の詳細を確認できます。
インターネット上で安全を維持する方法の詳細については、 Microsoft Security Central に関するページを参照してください。
Microsoft ソフトウェアの更新を維持する
Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、 Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新が有効になっており、Microsoft 製品の更新プログラムを提供するように構成されている場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。
その他の情報
Microsoft Active Protections Program (MAPP)
Microsoft は、お客様のセキュリティ保護を強化するために、毎月のセキュリティ更新プログラムリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供しています。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に最新の保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、 Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトにアクセスしてください。
フィードバック
- フィードバックを提供するには、Microsoft の [ヘルプとサポート] フォーム「 カスタマー サービスにお問い合わせください」を入力します。
サポート
- 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 使用可能なサポート オプションの詳細については、「 Microsoft ヘルプとサポート」を参照してください。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 国際サポートの問題について Microsoft に問い合わせる方法の詳細については、 国際サポートに関するページを参照してください。
- Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。
免責情報
このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を否認します。 Microsoft Corporation またはそのサプライヤーがこのような損害の可能性を通知された場合でも、直接的、間接的、付随的、派生的、事業利益の損失、特別な損害を含むいかなる損害についても、Microsoft Corporation またはそのサプライヤーは一切の責任を負いません。 一部の州では、派生的または付随的損害に対する責任の除外または制限が認められていないため、前述の制限が適用されない場合があります。
リビジョン
- V1.0 (2012 年 7 月 10 日): アドバイザリが公開されました。
- V1.1 (2012 年 7 月 11 日): 許可されていない証明書リストの有効日を、FAQ エントリの "2012 年 6 月 21 日 (またはそれ以降) 木曜日" に修正しました。"更新プログラムを適用した後、Microsoft 信頼されていない証明書ストアで証明書を確認するにはどうすればよいですか?
- V1.2 (2012 年 9 月 5 日): Microsoft Services PCA によって発行された "CN=Microsoft Online Svcs BPOS APAC CA4" 証明書の共通名を修正しました。
2014-04-18T13:49:36Z-07:00 にビルド