マイクロソフト セキュリティ アドバイザリ 2949927
Windows 7 および Windows Server 2008 R2 で SHA-2 ハッシュ アルゴリズムを利用可能
公開日:2014 年 10 月 15 日 | 最終更新日:2015 年 3 月 11 日
バージョン: 2.0
概説
概要
マイクロソフトは、サポートされているすべてのエディションの Windows 7 および Windows Server 2008 R2 で SHA-2 署名および検証機能のサポートを追加する更新プログラムが利用可能になったことをお知らせします。Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1 には SHA-2 署名および検証機能が既に含まれているため、これらのオペレーティング システムはこの更新プログラムを必要としません。この更新プログラムは、Windows Server 2003、Windows Vista、または Windows Server 2008 では利用できません。
この更新プログラムは、新規のアドバイザリの更新プログラム 3033929 として再発行されました。更新プログラム 2949927 を問題なくインストールされたお客様は、新しい更新プログラムをインストールする必要はありません。詳細情報、および再発行された更新プログラム 3033929 に関する詳細は、セキュリティ アドバイザリ 3033929 を参照してください。
推奨する対応策: Microsoft Update から更新プログラムをオンラインでチェックするために自動更新を有効にし、構成しているお客様は、通常このセキュリティ更新プログラムは自動でダウンロードおよびインストールされるため、特に操作をする必要はありません。自動更新を有効にしていない場合、この更新プログラムを手動で確認し、インストールする必要があります。自動更新の具体的な構成オプションの詳細については、サポート技術情報 294871 を参照してください。
管理者およびエンタープライズのインストール、またはこのセキュリティ更新プログラムを手動でインストールしたいエンド ユーザー (自動更新を有効にしていないお客様を含む) の場合は、更新プログラム管理ソフトウェアを使用して、または Microsoft Update サービスで更新プログラムをチェックして、この更新プログラムをできる限り早期に適用することを推奨します。これらの更新プログラムは、このセキュリティ情報の「影響を受けるソフトウェア」の表のダウンロード リンクからも入手できます。
アドバイザリの詳細
問題に関する参照情報
この問題に関する詳細情報は、次の参照情報をご確認ください。
参照情報 | ID |
マイクロソフト サポート技術情報 | 2949927 (3033929 によって置き換えられる) |
オペレーティング システム |
Windows 7 for 32-bit Systems Service Pack 1 (2949927) |
Windows 7 for x64-based Systems Service Pack 1 (2949927) |
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (2949927) |
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 (2949927) |
Server Core インストール オプション |
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール) (2949927) |
アドバイザリの「よく寄せられる質問」
このアドバイザリの目的は何ですか?
このアドバイザリの目的は、すべてのサポートされているエディションの Windows 7 および Windows Server 2008 R2 で SHA-2 ハッシュ アルゴリズムの機能を追加する更新プログラムが利用可能になったことをお知らせすることです。
これは、マイクロソフトがセキュリティ更新プログラムをリリースする必要のあるセキュリティ上の脆弱性ですか?
いいえ。ここ最近は SHA-1 の代わりとなる署名メカニズムが使われており、署名用のハッシュ アルゴリズムとして SHA-1 を使用することは推奨されていません。現在、SHA-1 の使用は最善策ではありません。マイクロソフトは、代わりに SHA-2 ハッシュ アルゴリズムを使用することを推奨しており、デジタル証明書のキーをよりセキュリティが強化された SHA-2 ハッシュ アルゴリズムに更新できるようにこの更新プログラムを公開しています。
SHA-1 ハッシュ アルゴリズムの問題の原因は何ですか?
本件の根本原因は、SHA-1 ハッシュ アルゴリズムの良く知られた弱点は衝突攻撃 (collision attack) に曝されやすいことです。これらの攻撃は、オリジナルの証明書と同一の署名を持つ別の証明書を生成する事を可能にします。これらの問題点があるため、この攻撃を防ぐ必要がある用途での SHA-1 証明書の使用は推奨されていません。マイクロソフトでは、セキュリティ開発ライフサイクル (SDL) に従い、SHA-1 ハッシュ アルゴリズムをマイクロソフト製品で既定の機能として使用しないことを規定しています。詳細については、マイクロソフト セキュリティ アドバイザリ 2880823 および Windows PKI ブログ エントリ、SHA1 Deprecation Policy (SHA1 の廃止ポリシー) (英語情報) を参照してください。
この更新プログラムは何を修正しますか?
この更新プログラムは、影響を受けるオペレーティング システムに以下の SHA-2 ハッシュ アルゴリズム署名および検証のサポートを追加します。
- キャビネット ファイルでの複数署名のサポート
- Windows PE ファイルでの複数署名のサポート
- 複数のデジタル署名の表示を可能にする UI の変更
- カーネルの署名を検証するコードの整合性コンポーネントへの RFC3161 タイムスタンプを検証する機能
- さまざまな API (CertIsStrongHashToSign、CryptCATAdminAcquireContext2、および CryptCATAdminCalcHashFromFileHandle2 など) のサポート
セキュア ハッシュ アルゴリズム (SHA-1) とは何ですか?
セキュア ハッシュ アルゴリズム (SHA) は、デジタル署名アルゴリズム (DSA) やデジタル署名標準 (DSS) で使用するために開発されており、160 ビット ハッシュ値を生成します。SHA-1 は衝突攻撃にさらされる弱点を持っています。これらの攻撃は、オリジナルの証明書と同一の署名を持つ別の証明書を生成する事を可能にします。SHA-1 の詳細については、Hash and Signature Algorithms (ハッシュおよび署名アルゴリズム) (英語情報) を参照してください。
RFC3161 とは何ですか??
RFC3161 は、Time Stamping Authority (TSA) に対する要求と応答の形式を規定している Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) を定義します。TSA を使用することにより、デジタル署名が公開キー証明書証明書の期間中に生成されたことを証明できます。X.509 Public Key Infrastructure を参照してください。
デジタル証明書とは何ですか?
公開キー暗号化では、キーの 1 つ (秘密キーと呼ばれています) は秘密にされている必要があります。公開キーと呼ばれているもう 1 つのキーは世界で共有されることを意図しています。しかし、キーの所有者がキーが誰に属しているかを公に知らせる方法が必要になります。デジタル証明書はこれを実行する方法を提供します。デジタル証明書は、個人、組織、およびコンピューターのオンライン アイデンティティを証明するために使用される電子資格情報です。デジタル証明書は、公開キーと、公開キーについての情報 (所有者情報、使用用途、有効期限、そのほかの関連情報) を含みます。詳細については、「公開キー暗号について」と「Digital Certificates (デジタル証明書)」(英語情報) を参照してください。
デジタル証明書の目的は何ですか?
デジタル証明書は主に人物またはデバイスの身元の確認、サービスの認証、またはファイルの暗号化に使用されます。通常は、証明書の有効期限が切れた、または証明書が無効ということを通知するメッセージが表示された場合以外で、証明書を考慮する必要はありません。このような場合、メッセージの説明に従ってください。
推奨するアクション
サポートされているリリースの Microsoft Windows への更新プログラムの適用
自動更新を有効にしている大多数のお客様は、この更新プログラムが自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。自動更新を有効にしていない場合、この更新プログラムを手動で確認し、インストールする必要があります。自動更新の具体的な構成オプションの詳細については、サポート技術情報 294871 を参照してください。
管理者およびエンタープライズのインストール、またはこのセキュリティ更新プログラムを手動でインストールしたいエンド ユーザー (自動更新を有効にしていないお客様を含む) の場合は、更新プログラム管理ソフトウェアを使用して、または Microsoft Update サービスで更新プログラムをチェックして、この更新プログラムをできる限り早期に適用することを推奨します。これらの更新プログラムは、このセキュリティ情報の「影響を受けるソフトウェア」の表のダウンロード リンクからも入手できます。
追加の推奨されるアクション
コンピューターを守る
マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。詳細については、Microsoft セーフティとセキュリティ センターを参照してください。
マイクロソフトのソフトウェアを最新の状態に保つ
マイクロソフトのソフトウェアをお使いのお客様は、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、お使いのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、Microsoft Update で、利用可能な更新プログラムがあるかどうかに関してコンピューターをスキャンし、提供されている優先度の高い更新プログラムをインストールしてください。自動更新が有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。
関連情報
Microsoft Active Protections Program (MAPP)
お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。
フィードバック
- フィードバックをご提供いただく際は、マイクロソフト サポート オンラインのマイクロソフトへのご意見・ご要望のフォームへ入力をお願いします。
サポート
- セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。詳細については、Microsoft サポートを参照してください。
- その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。詳細については、Microsoft サポートを参照してください。
- Microsoft TechNet セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。
免責
この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。
更新履歴
- V1.0 (2014/10/15):アドバイザリを公開しました。
- V2.0 (2014/10/20):マイクロソフト セキュリティ更新プログラム 2949927 のダウンロード センターのリンクを削除しました。問題が発生している場合は、マイクロソフトはお客様にこの更新プログラムをアンインストールすることをお勧めします。この更新プログラムに関連する動作を調査中であり、詳細が明らかになりましたらこのアドバイザリを更新する予定です。
- V3.0 (2015/03/11):本アドバイザリを更新し、2014 年 10 月 17 日に廃止された更新プログラム 2949927 が、新規のアドバイザリの更新プログラム 3033929 として再発行されたことをお知らせしました。更新プログラム 2949927 を問題なくインストールされたお客様は、新しい更新プログラムをインストールする必要はありません。詳細情報、および再発行された更新プログラム 3033929 に関する詳細は、セキュリティ アドバイザリ 3033929 を参照してください。
Page generated 2015-02-26 12:57Z-08:00.