Security Advisory

マイクロソフト セキュリティ アドバイザリ 2876146

ワイヤレス PEAP-MS-CHAPv2 認証により、情報漏えいが起こる可能性がある

公開日: 2013年8月4日

バージョン: 1.0

概説

概要

マイクロソフトは、Windows Phone で WPA2 ワイヤレス認証に使用される PEAP-MS-CHAPv2 (Protected Extensible Authentication Protocol と Microsoft チャレンジ ハンドシェイク認証プロトコル Version 2 の組み合わせ) と呼ばれる Wi-Fi 認証プロトコルにある既知の脆さに関する公開報告を認識しています。脆弱性のシナリオでは、攻撃者がこの問題を悪用した場合、標的のデバイスで情報漏えいが起こる可能性があります。マイクロソフトは現在、この脆弱性を悪用する攻撃が行われていること、また現時点でのお客様に影響が及ぶことを確認していません。マイクロソフトはこの状況を積極的に監視し、お客様に情報を提供し続け、また必要であればお客様のためのガイダンスを提供します。

この問題を悪用するために、攻撃者によって制御されるシステムが既知の Wi-Fi アクセス ポイントを偽装する可能性があります。その結果、標的のデバイスがアクセス ポイントへの認証を自動的に試行し、攻撃者が標的としているユーザーの暗号化ドメイン資格情報を傍受できるようになります。その後、攻撃者は PEAP-MS-CHAPv2 プロトコルの暗号の脆さを悪用して、標的のユーザーのドメイン資格情報を入手する可能性があります。攻撃者はそれらの資格情報をネットワーク リソースへの認証に再利用し、そのユーザーがネットワーク リソースに対して実行できるいかなる操作も実行できるようになる可能性があります。

推奨する対応策: 推奨するアクションを行って、認証プロセスを開始する前にワイヤレス アクセス ポイントを確認する証明書を必須とします。詳細情報は、このセキュリティ アドバイザリの「推奨するアクション」の欄を参照してください。

アドバイザリの詳細

影響を受けるソフトウェア

このアドバイザリは次のデバイスについて説明しています。

影響を受けるデバイスのオペレーティング システム
Windows Phone 8
Windows Phone 7.8

アドバイザリの「よく寄せられる質問」

このアドバイザリの目的は何ですか? 
このアドバイザリの目的は、マイクロソフトが PEAP-MS-CHAPv2 と呼ばれる Wi-Fi 認証プロトコルの既知の脆さに関する公開報告を認識していることをお知らせすることです。この問題は Windows Phone デバイスに影響を及ぼします。この問題は「影響を受けるソフトウェア」の欄に記載されているデバイス オペレーティング システムに影響を及ぼします。

これは、マイクロソフトがセキュリティ更新プログラムをリリースする必要のあるセキュリティ上の脆弱性ですか? 
いいえ。これは、マイクロソフトがセキュリティ更新プログラムを提供する必要のあるセキュリティ上の脆弱性ではありません。この問題は、PEAP-MS-CHAPv2 プロトコルの既知の暗号の脆さが原因であり、ワイヤレス アクセス ポイントおよび Windows Phone 8 デバイスに構成の変更を実装することで解決されます。

攻撃者は、この 問題を 悪用して何を行う可能性がありますか? 
ほとんどのシナリオで、この問題の悪用に成功した攻撃者は、標的のユーザーのドメイン資格情報を標的のデバイスから漏えいさせる可能性があります。攻撃者は標的のユーザーのドメイン資格情報を再利用してネットワーク リソースへの認証を行い、そのユーザーがそのネットワーク リソースに対して実行できるいかなる操作も実行できるようになる可能性があります。

攻撃者はこの問題をどのように悪用する可能性がありますか? 
攻撃者によって制御されるシステムが既知の Wi-Fi アクセス ポイントを偽装する可能性があります。その結果、標的のデバイスがアクセス ポイントへの認証を自動的に試行し、攻撃者が標的としているユーザーの暗号化ドメイン資格情報を傍受できるようになります。その後、攻撃者は PEAP-MS-CHAPv2 プロトコルの暗号の脆さを悪用して、標的のユーザーのドメイン資格情報を入手する可能性があります。

PEAP-MS-CHAPv2 とは何ですか? 
PEAP-MS-CHAPv2 は、アクセス ポイントへのユーザー認証に使用されるワイヤレス認証プロトコルです。認証されたデバイスのみがワイヤレス ネットワークに接続できるようにする目的で使用されます。一般に、PEAP-MS-CHAPv2 は WPA2 ワイヤレス保護プロトコルと一緒に使用されます。

WPA2 とは何ですか? 
Wi-Fi Protected Access II (WPA2) は IEEE 802.11i の規格で、ワイヤレス ネットワーク通信の機密性を確保するために使用されるセキュリティ プロトコルです。WPA の後継にあたります。

推奨するアクション

このアドバイザリで説明している問題の悪用を防ぐには、次に示す推奨アクションのいずれかを行います。

  • Windows Phone 8 デバイスから 認証プロセスを開始する前に、証明書によるワイヤレス アクセス ポイントの確認を 必須とするように設定する

    ネットワーク アクセス ポイントを検証するように Windows Phone 8 デバイスを構成できます。これにより、認証プロセスを開始する前に、接続先のネットワークが自社のネットワークであることを確認できます。それには、自社サーバー上の証明書を検証します。証明書の情報が、認証サーバーに送信されたユーザー名とパスワードの情報であると検証された後に、Windows Phone デバイスは Wi-Fi ネットワークに接続可能になります。

    証明者の発行:

    企業の IT 部門が、ワイヤレス アクセス ポイントの検証に使用可能なルート証明書を発行します。この証明書には、覚えやすい名前 (たとえば "Contoso Corporate Root Certificate") を付けます。この証明書は、IT 部門が管理する MDM (モバイル デバイス管理ソリューション) によって既に準備されている可能性があります。

    証明書は電子メール メッセージを使用して発行できます。電子メール メッセージには、IT 部門が策定した Wi-Fi 証明書の検証を有効にする方法も記載する必要があります。たとえば、電子メール メッセージに次のような手順を記載することができます。

    証明書によるワイヤレス アクセス ポイントの 確認を 必須とするように Windows Phone 8 を構成するには:

    会社の IT 部門からルート証明書を受け取ったら、各 Windows Phone 8 ユーザーは次の手順を実行します。

    構成済みの Wi-Fi 接続を削除します。

    1. [設定]、[Wi-Fi] で [詳細設定]をタップします。
    2. 選択した Wi-Fi ネットワークをタップしたまま押さえて、[削除]を選択します。

    新しい接続を作成し、サーバー証明書の検証を有効にします。

    1. Wi-Fi 設定で、サインイン ページを開くエンタープライズ Wi-Fi ネットワークのアクセス ポイントをタップします。
    2. ユーザー名とパスワードを入力します。
    3. [サーバー証明書の検証]をオンに切り替えます。
    4. 証明書を選択するためにタップします。
    5. 選択する証明書のリストで、会社の IT 部門が発行したルート証明書 (たとえば "Contoso Corporate Root Certificate") を選択して [完了]をタップします。
  • Windows Phone デバイスで Wi-Fi を 無効にする

    [設定]、[Wi-Fi] で、タップして [Wi-Fi ネットワーク]をオフに切り替えます。

関連情報

フィードバック

サポート

  • セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • Microsoft TechNet
  • セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2013/08/05):アドバイザリを公開しました。

Built at 2014-04-18T13:49:36Z-07:00