Security Advisory

マイクロソフト セキュリティ アドバイザリ 2798897

不正なデジタル証明書により、なりすましが行われる

公開日: 2013年1月7日 | 最終更新日: 2013年1月15日

バージョン: 1.1

概説

概要

マイクロソフトは TURKTRUST Inc. (信頼されたルート証明機関ストアに含まれる CA) により発行された 1 つの不正なデジタル証明書を使用して現在攻撃が行われていること確認しています。この不正な証明書は、コンテンツのなりすまし、フィッシング攻撃の実行、または中間者攻撃に悪用される可能性があります。この問題は、すべてのサポートされているリリースの Microsoft Windows に影響を及ぼします。

TURKTRUST Inc. は 2 つの子会社 CA (*.EGO.GOV.TR および e-islem.kktcmerkezbankasi.org) を不適切に作成しました。次に、*.EGO.GOV.TR 子会社 CA を使用して不正なデジタル証明書が *.google.com に発行されました。この不正な証明書は、コンテンツのなりすまし、フィッシング攻撃の実行、または複数の Google Web プロパティに対する中間者攻撃の実行に悪用される可能性があります。

このデジタル証明書の悪用からお客様を保護するために、マイクロソフトは証明書信頼リスト (CTL) を更新し、すべてのサポートされているリリースの Microsoft Windows 向けにこの問題の原因となっている証明書の信頼を排除する更新プログラムを提供しています。これらの証明書に関する詳細については、このアドバイザリの「よく寄せられる質問」のセクションを参照してください。

推奨する対応策: Windows 8、Windows RT、Windows Server 2012、および Windows Phone 8 を搭載しているデバイスなど、有効期限が切れた証明書の自動更新ツールを使用しているシステムの場合 (詳細についてはサポート技術情報 2677070 を参照してください)、自動的に保護が行われるので、措置を講じる必要はありません。

Windows XP および Windows Server 2003 のお客様、または失効した証明書の自動更新ツールをインストールしていないお客様の場合、マイクロソフトは更新プログラム管理ソフトウェアを使用するか、[Microsoft Update](https://go.microsoft.com/fwlink/?  linkid=40747) サービスを使用して更新プログラムを確認するか、手動で更新プログラムをダウンロードして適用するかにより、2798897 更新プログラムを即座に適用することをお客様にお勧めします。詳細情報は、このセキュリティ アドバイザリの「推奨するアクション」の欄を参照してください。

アドバイザリの詳細

問題に関する参照情報

この問題に関する詳細情報は、次の参照情報をご確認ください。

参照情報 ID
マイクロソフト サポート技術情報 2798897

影響を受けるソフトウェアおよびデバイス

このアドバイザリは次のソフトウェアおよびデバイスについて説明しています。

影響を受けるソフトウェア
オペレーティング システム
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Windows 8
Windows Server 2012
Windows RT
Server Core インストール オプション
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core インストール)
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core インストール)
Windows Server 2008 R2 for x64-based Systems (Server Core インストール)
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール)
Windows Server 2012 (Server Core インストール)
影響を受けるデバイス
Windows Phone 8
影響を受けないデバイス
Windows Phone 7
Windows Phone 7.5
Windows Phone 7.8

よく寄せられる質問

このアドバイザリの目的は何ですか?   
このアドバイザリの目的は、 1 つのデジタル証明書が現在攻撃で悪用されており、複数の Google Web プロパティに影響を及ぼしていることをマイクロソフトが確認したことをお知らせすることです。この証明書とその他の 2 つの証明書は信頼されなくなり、CTL に追加されました。Windows 8、Windows RT、および Windows Server 2012 など、有効期限が切れた証明書の自動更新ツールを使用しているシステムの場合 (詳細についてはサポート技術情報 2677070 を参照してください)、システムの保護が自動的に行われるので、措置を講じる必要はありません。

サポート技術情報 2677070 をインストールしていない Windows XP および Windows Server 2003 のお客様の場合、または Microsoft Update に接続できない非接続システムの場合、すべてのサポートされるリリースの Microsoft Windows についてこの問題を解決する更新プログラムを利用できます。

この問題の原因は何ですか?
マイクロソフトは TURKTRUST Inc. (信頼されたルート証明機関ストアに含まれる CA) により発行された 1 つの不正なデジタル証明書を悪用して現在攻撃が行われていること確認しました。TURKTRUST Inc. は 2 つの子会社 CA (*.EGO.GOV.TR および e-islem.kktcmerkezbankasi.org) を不適切に作成しました。*.EGO.GOV.TR を使用して不正なデジタル証明書が *.google.com に発行されました。この不正な証明書は、コンテンツのなりすまし、フィッシング攻撃の実行、または複数の Google Web プロパティに対する中間者攻撃の実行に悪用される可能性があります。

調査では、*.EGO.GOV.TR および e-islem.kktcmerkezbankasi.org 証明書が不適切に発行されたことが特定されました。これらは CRL または OCSP 拡張がなく、エンドエンティティ証明書として不適切に発行されています。したがって、予防策として、さらにこれらの証明書を失効させています。

この更新プログラムはその他のデジタル証明書にも対応していますか? 
はい。このアドバイザリで説明している証明書に加え、この更新プログラムは累積的なもので、以前のアドバイザリで説明しているデジタル証明書にも対応しています: [マイクロソフト セキュリティ アドバイザリ 2524375] (https://technet.microsoft.com/ja-jp/security/advisory/2524375)、マイクロソフト セキュリティ アドバイザリ 2607712マイクロソフト セキュリティ アドバイザリ 2641690マイクロソフト セキュリティ アドバイザリ 2718704、および マイクロソフト セキュリティ アドバイザリ 2728973

暗号化とは何ですか?
暗号化とは、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号文として知られています) 間で情報を変換することにより、情報を保護する技術です。

すべての暗号化の形式で、プレーンテキスト データを暗号文に変換するために、暗号アルゴリズムと呼ばれるプロシージャと共に、キーと呼ばれる値が使用されます。最もよく知られた暗号化の種類は、秘密キーの暗号化で、暗号文が同じキーを使用してプレーンテキストに復号化されます。しかし、別の種類の暗号化である公開キーの暗号化では、暗号化テキストをプレーンテキストに復号化するために異なるキーが使用されます。

デジタル証明書とは何ですか?
公開鍵暗号では、キーの 1 つである秘密キーと呼ばれるキーは秘密にされている必要があります。公開キーと呼ばれているもう 1 つのキーは世界で共有されることが意図されています。しかし、キーの所有者がキーが誰に属しているかを公に知らせる方法が必要になります。デジタル証明書はこれを実行する方法を提供します。デジタル証明書は改ざんができないデータの一部で、公開キーと、公開キーについての情報 (所有者情報、使用用途、有効期限、その他の関連情報) を含みます。

証明書が使用される目的は何ですか?
証明書は主に人物またはデバイスの身元の確認、サービスの認証、またはファイルの暗号化に使用されます。通常、証明書について何も考える必要はありません。しかし、証明書の有効期限が切れている、または無効であることを示すメッセージが表示されることがあります。このような場合、メッセージの説明に従ってください。

証明機関 (CA) とは何ですか?
証明機関とは、証明書を発行する組織のことです。証明機関は、人物またはその他の証明機関に属す公開キーの信頼性を確立し、検証します。また、証明書を要求する人物または組織の身元を確認します。

証明書信頼リスト (CTL) とは何ですか?
信頼は署名されたメッセージの受信者とメッセージの署名者の間で存在しければなりません。この信頼を確立するための 1 つの方法は、その機関や人物が本物かどうかを確認するための電子ドキュメントである、証明書を通して行うことです。各証明書は、両者によって信頼された第三者機関によって各機関に発行されます。そして、署名されたメッセージの各受信者は、署名者の証明書の発行元が信頼できるかどうかを決定します。CryptoAPI は、アプリケーション開発者が信頼された証明書やルートの所定のリストに対して自動的に証明書を認証するアプリケーションを作成する手法を実装しました。この信頼された機関 (いわゆる subject) のリストは、証明書信頼リスト (CTL) と呼ばれています。詳細情報は、MSDN ライブラリ Certificate Trust Verification (英語情報) を参照してください。

これらの脆弱性により、 攻撃者は何を行う可能性がありますか?
攻撃者はこれらの証明書を悪用し、コンテンツのなりすまし、フィッシング攻撃の実行、または次の Web プロパティに対して中間者攻撃を行う可能性があります。

  • *.google.com
  • *.android.com
  • *.appengine.google.com
  • *.cloud.google.com
  • *.google-analytics.com
  • *.google.ca
  • *.google.cl
  • *.google.co.in
  • *.google.co.jp
  • *.google.co.uk
  • *.google.com.ar
  • *.google.com.au
  • *.google.com.br
  • *.google.com.co
  • *.google.com.mx
  • *.google.com.tr
  • *.google.com.vn
  • *.google.de
  • *.google.es
  • *.google.fr
  • *.google.hu
  • *.google.it
  • *.google.nl
  • *.google.pl
  • *.google.pt
  • *.googleapis.cn
  • *.googlecommerce.com
  • *.gstatic.com
  • *.urchin.com
  • *.url.google.com
  • *.youtube-nocookie.com
  • *.youtube.com
  • *.ytimg.com
  • android.com
  • g.co
  • goo.gl
  • google-analytics.com
  • google.com
  • googlecommerce.com
  • urchin.com
  • youtu.be
  • youtube.com

中間者攻撃とは何ですか?
中間者攻撃は、通信中の双方のユーザーに気付くことなく、攻撃者のコンピューターで双方のユーザー間の通信が経路変更された際に発生する攻撃です。通信中の双方のユーザーは、意図した受信者とのみ通信中であると思い、気付かないまま攻撃者とトラフィックの送受信を行います。

マイクロソフトはこの問題解決の手助けを行うために何をしていますか?
これは、マイクロソフト製品の問題により生じた問題ではありませんが、マイクロソフトは CTL を更新し、お客様を保護するために更新プログラムを提供しています。マイクロソフトは、引き続きこの問題について調査し、将来的に CTL を変更するか、お客様を保護する手助けとなる更新プログラムをリリースする予定です。

更新プログラムを適用した後、マイクロソフトの信頼されていない証明書ストア内の証明書をどのように確認することができますか?
Windows 8、Windows RT、Windows Server 2012 など、失効した証明書の自動更新ツールを使用しているシステムの場合 (詳細についてはサポート技術情報 2677070 を参照してください)、イベント ビューアーのアプリケーション ログから、次の値を含むエントリを確認できます。

  • ソース: CAPI2
  • レベル: 情報
  • イベント ID: 4112
  • 説明:許可されない証明書リストの自動更新に成功しました。有効期限: 2012 年 12 月 31 日 月曜日 (またはそれ以降)。

失効した証明書の自動更新ツールを使用していないシステムの場合は、証明書 MMC スナップインで、次の証明書が信頼されていない証明書のフォルダーに追加されていることを確認してください。

証明書 発行者 拇印
*.google.com *.EGO.GOV.TR ‎4d 85 47 b7 f8 64 13 2a 7f 62 d9 b7 5b 06 85 21 f1 0b 68 e3
e-islem.kktcmerkezbankasi.org TURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri ‎f9 2b e5 26 6c c0 5d b2 dc 0d c3 f2 dc 74 e0 2d ef d9 49 cb
*.EGO.GOV.TR TURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri ‎c6 9f 28 c8 25 13 9e 65 a6 46 c4 34 ac a5 a1 d2 00 29 5d b1

注: MMC スナップインで証明書を表示する方法については、MSDN ライブラリの「方法:MMC スナップインを使用して証明書を参照する」を参照してください。

推奨するアクション

サポートされているリリースの Microsoft Windows

失効した証明書の自動更新ツール (サポート技術情報 2677070) を使用しているお客様は、CTL が自動的に更新されるため措置を講じる必要はありません。

注: Windows Phone 8 を実行しているデバイスは失効した証明書の自動更新ツールが搭載されているため、自動的に更新されます。

失効した証明書の自動更新ツールを使用して自動的な保護を行う管理者やエンタープライズ レベルのインストールの場合は、サポート技術情報 2677070 を確認して、非接続システムとしての環境に適しているか、厳密な出口フィルタリングを備えている環境に追加の検討事項が必要かどうかを確認してください。

Windows XP および Windows Server 2003 のお客様、または失効した証明書の自動更新ツールをインストールしていないお客様の場合、マイクロソフトは更新プログラム管理ソフトウェアを使用するか、[Microsoft Update](https://go.microsoft.com/fwlink/?  linkid=40747) サービスを使用して更新プログラムを確認するか、手動で更新プログラムをダウンロードして適用するかにより、2798897 更新プログラムを即座に適用することをお客様にお勧めします。ダウンロード リンクについては、サポート技術情報 2798897 を参照してください。

追加の推奨されるアクション

  • コンピューターを守る

    マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。詳細については、Microsoft セーフティとセキュリティ センターを参照してください。

  • マイクロソフトのソフトウェアを最新の状態に保つ

    マイクロソフトのソフトウェアをお使いのお客様は、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、お使いのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、[Microsoft Update](https://go.microsoft.com/fwlink/?  linkid=40747) で、利用可能な更新プログラムがあるかどうかに関してコンピューターをスキャンし、提供されている優先度の高い更新プログラムをインストールしてください。自動更新が有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。

関連情報

謝辞

この問題を連絡し、顧客の保護に協力してくださった下記の方に対し、マイクロソフトは深い[謝意](https://go.microsoft.com/fwlink/?  linkid=21127)を表します。

  • マイクロソフトの注意を喚起するためにこの問題について報告し、協力してくださった Adam Langley 氏および Google Chrome Security Team

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、[Microsoft Active Protections Program (MAPP) パートナー](https://go.microsoft.com/fwlink/?  linkid=215201)に記載されている各社の Web サイトを参照してください。

フィードバック

  • フィードバックをご提供いただく際は、マイクロソフト サポート オンラインの[マイクロソフトへのご意見・ご要望](https://support.microsoft.com/common/survey.aspx?  scid=sw;en;1257&showpage=1&ws=technet&sd=tech)のフォームへ入力をお願いします。

サポート

  • セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、[マイクロソフト セキュリティ情報センター](https://go.microsoft.com/fwlink/?  linkid=21131)までご連絡ください。利用可能なサポート オプションの詳細については、マイクロソフト サポート オンラインを参照してください。
  • その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフト プロダクト サポートへの連絡方法は[こちら](https://go.microsoft.com/fwlink/?  linkid=21155)を参照してください。
  • [Microsoft TechNet](https://go.microsoft.com/fwlink/?  linkid=21132) セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2013/01/07):アドバイザリを公開しました。
  • V1.1 (2013/01/15):このアドバイザリを更新し、「よく寄せられる質問」の「更新プログラムを適用した後、マイクロソフトの信頼されていない証明書ストア内の証明書をどのように確認することができますか?  」の質問に対する回答で、許可されない証明書のリストの発効日を修正し、2012 年 12 月 31 日 月曜日 (またはそれ以降) としました。

Built at 2014-04-18T13:49:36Z-07:00