Microsoft セキュリティ アドバイザリ 2982792

不適切に発行されたデジタル証明書によってスプーフィングが許可される可能性がある

公開日: 2014 年 7 月 10 日 |更新日: 2014 年 7 月 17 日

バージョン: 2.0

一般情報

概要

Microsoft は、不適切に発行された SSL 証明書を認識しています。これは、コンテンツのなりすまし、フィッシング攻撃の実行、中間者攻撃の実行に使用される可能性があります。 SSL 証明書は、信頼されたルート証明機関ストアに存在する CA であるインド政府認証機関 (CCA) が運営するルート CA の下で下位 CA を運用する National Informatics Center (NIC) によって不適切に発行されました。 この問題は、Microsoft Windows でサポートされているすべてのリリースに影響します。 Microsoft は現在、この問題に関連する攻撃を認識していません。

下位 CA は、Google Web プロパティを含む複数のサイトに対して SSL 証明書を発行するために悪用されています。 これらの SSL 証明書は、コンテンツのスプーフィング、フィッシング攻撃の実行、Web プロパティに対する中間者攻撃の実行に使用できます。 下位 CA は、他の現在不明なサイトの証明書の発行にも使用されている可能性があり、同様の攻撃を受ける可能性があります。

このデジタル証明書が不正に使用される可能性から顧客を保護するために、Microsoft は、この問題の原因となっている証明書の信頼を削除するために、Microsoft Windows でサポートされているすべてのリリースの証明書信頼リスト (CTL) を更新しています。 これらの証明書の詳細については、このアドバイザリの「 よく寄せられる質問 」セクションを参照してください。

推薦。 失効した証明書の自動アップデーターは、サポートされているエディションの Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2、および実行中のデバイスに含まれていますWindows Phone 8 または Windows Phone 8.1。 これらのオペレーティング システムまたはデバイスでは、CTL が自動的に更新されるため、お客様は何も操作する必要はありません。

失効した証明書の自動アップデーターを使用している Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 を実行しているシステムの場合 (詳細については、「 Microsoft サポート技術情報の記事 2677070 」を参照)、CTL が自動的に更新されるため、お客様は何も行う必要はありません。

Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 を実行しているシステムで、失効した証明書の自動アップデーターがインストールされていない場合、この更新プログラムは使用できません。 この更新プログラムを受け取るために、失効した証明書の自動アップデーターをインストールする必要があります (詳細については、「 Microsoft サポート技術情報の記事2677070 」を参照してください)。 切断された環境で、Windows Vista、Windows 7、Windows 8、Windows Server 2008、Windows Server 2008 R2、または Windows Server 2012 を実行しているお客様は、更新プログラム2813430をインストールしてこの更新プログラムを受け取ることができます (詳細については、「Microsoft サポート技術情報の記事の2813430」を参照してください)。

Windows Server 2003 を実行しているお客様には、更新管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムを確認するか、更新プログラムを手動でダウンロードして適用することで、 2982792 更新プログラムを直ちに適用することをお勧めします。 詳細については、このアドバイザリの 「推奨されるアクション」 セクションを参照してください。

アドバイザリの詳細

問題の参照

この問題の詳細については、次のリファレンスを参照してください。

参照 [識別]
Microsoft サポート技術情報の記事 2982792

影響を受けるソフトウェア

このアドバイザリでは、次のソフトウェアについて説明します。

影響を受けるソフトウェア
オペレーティング システム
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 と ITanium ベースのシステム用 SP2
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32 ビット システム Service Pack 2
Windows Server 2008 for x64 ベースのシステム Service Pack 2
Windows Server 2008 for Itanium ベースのシステム Service Pack 2
Windows 7 for 32 ビット システム Service Pack 1
Windows 7 for x64 ベースのシステム Service Pack 1
Windows Server 2008 R2 for x64 ベースのシステム Service Pack 1
Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1
32 ビット システムのWindows 8
x64 ベースのシステムのWindows 8
32 ビット システムのWindows 8.1
x64 ベースのシステムのWindows 8.1
Windows RT
Windows RT 8.1
Windows Server 2012
Windows Server 2012 R2
Server Core インストール オプション
Windows Server 2008 for 32 ビット システム Service Pack 2 (Server Core インストール)
Windows Server 2008 for x64 ベースのシステム Service Pack 2 (Server Core インストール)
x64 ベースのシステム用 Windows Server 2008 R2 (Server Core インストール)
Windows Server 2012 (Server Core のインストール)
Windows Server 2012 R2 (Server Core のインストール)
影響を受けるデバイス
Windows Phone 8
Windows Phone 8.1

アドバイザリに関する FAQ

このアドバイザリが 2014 年 7 月 17 日に更新されたのはなぜですか?
このアドバイザリは、2014 年 7 月 17 日に更新され、Windows Server 2003 のサポートされているエディションの更新プログラムの2982792の可用性を発表しました。 詳細については、このアドバイザリの 「推奨されるアクション」 セクションを参照してください。

アドバイザリの範囲は何ですか?
このアドバイザリの目的は、National Informatics Centre (NIC) が Google Web プロパティを含む複数のサイトに対して SSL 証明書を不適切に発行したことをお客様に通知することです。 これらの SSL 証明書は、コンテンツのスプーフィング、フィッシング攻撃の実行、Web プロパティに対する中間者攻撃の実行に使用できます。 下位 CA は、他の現在不明なサイトの証明書の発行にも使用されている可能性があり、同様の攻撃を受ける可能性があります。

問題の原因は何ですか?
下位 CA 証明書は、ナショナル インフォマティクス センター (NIC) によって不適切に発行され、信頼されたルート証明機関ストアに存在する CA であるインド政府 CA に従属しています。

この更新プログラムは、他のデジタル証明書に対応していますか?
はい。このアドバイザリで説明されている証明書に対処するだけでなく、この更新プログラムは累積的であり、前のアドバイザリで説明したデジタル証明書が含まれています。

暗号化とは
暗号化は、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号テキストと呼ばれます) の間で変換することで、情報をセキュリティで保護する科学です。

あらゆる形式の暗号化では、キーと呼ばれる値が暗号アルゴリズムと呼ばれるプロシージャと組み合わせて使用され、プレーンテキスト データが暗号テキストに変換されます。 最も使い慣れた種類の暗号化(秘密鍵暗号化)では、暗号テキストは同じキーを使用してプレーンテキストに変換されます。 ただし、2 番目の種類の暗号化である公開キー暗号化では、暗号化テキストをプレーンテキストに変換するために別のキーが使用されます。

デジタル証明書とは
公開キー暗号化では、秘密キーと呼ばれるキーの 1 つを秘密にしておく必要があります。 公開キーと呼ばれるもう 1 つのキーは、世界と共有することを目的としています。 ただし、キーの所有者がキーが属するユーザーを世界に伝える方法が必要です。 デジタル証明書は、これを行う方法を提供します。 デジタル証明書は、公開キーに関する情報 (誰が公開キーを所有するか、何に使用できるか、有効期限が切れたときなど) と共にパッケージ化する改ざん防止データです。

証明書は何に使用されますか?
証明書の主な使用目的は、個人またはデバイスの身元の保証、サービスの認証、またはファイルの暗号化です。 通常、証明書についてまったく考慮する必要はありません。 ただし、証明書の有効期限が切れている場合や、証明書が無効である場合は、そのことを示すメッセージが表示されることがあります。 そのような場合は、メッセージの指示に従う必要があります。

証明機関 (CA) とは
証明機関とは、証明書を発行する組織です。 ユーザーまたはその他の証明機関に属する公開キーの信頼性を確立して検証し、証明書を要求する個人またはorganizationの ID を検証します。

証明書信頼リスト (CTL) とは
署名されたメッセージの受信者とメッセージの署名者の間に信頼が存在する必要があります。 この信頼を確立する方法の 1 つは、証明書 (エンティティまたは個人が本人であることを確認する電子ドキュメント) を使用することです。 証明書は、両方の当事者によって信頼されているサード パーティによってエンティティに発行されます。 そのため、署名済みメッセージの各受信者は、署名者の証明書の発行者が信頼できるかどうかを決定します。 CryptoAPI には、アプリケーション開発者が、定義済みの信頼された証明書またはルートの一覧に対して証明書を自動的に検証するアプリケーションを作成できるようにする手法が実装されています。 この信頼されたエンティティの一覧 (サブジェクトと呼ばれます) は、証明書信頼リスト (CTL) と呼ばれます。 詳細については、MSDN の「 証明書の信頼の検証」を参照してください。

攻撃者はこれらの証明書を使用して何を行う可能性がありますか?
攻撃者は、これらの証明書を使用して、コンテンツのなりすまし、フィッシング攻撃の実行、または次の Web プロパティに対する中間者攻撃を実行する可能性があります。

  • google.com
  • mail.google.com
  • gmail.com
  • www.gmail.com
  • m.gmail.com
  • smtp.gmail.com
  • pop.gmail.com
  • imap.gmail.com
  • googlemail.com
  • www.googlemail.com
  • smtp.googlemail.com
  • pop.googlemail.com
  • imap.googlemail.com
  • gstatic.com
  • ssl.gstatic.com
  • www.static.com
  • encrypted-tbn1.gstatic.com
  • encrypted-tbn2.gstatic.com
  • login.yahoo.com
  • mail.yahoo.com
  • mail.yahoo-inc.com
  • fb.member.yahoo.com
  • login.korea.yahoo.com
  • api.reg.yahoo.com
  • edit.yahoo.com
  • watchlist.yahoo.com
  • edit.india.yahoo.com
  • edit.korea.yahoo.com
  • edit.europe.yahoo.com
  • edit.singapore.yahoo.com
  • edit.tpe.yahoo.com
  • legalredirect.yahoo.com
  • me.yahoo.com
  • open.login.yahooapis.com
  • subscribe.yahoo.com
  • edit.secure.yahoo.com
  • edit.client.yahoo.com
  • bt.edit.client.yahoo.com
  • verizon.edit.client.yahoo.com
  • na.edit.client.yahoo.com
  • au.api.reg.yahoo.com
  • au.reg.yahoo.com
  • profile.yahoo.com
  • static.profile.yahoo.com
  • openid.yahoo.com

中間者攻撃とは
中間者攻撃は、攻撃者が 2 人のユーザーの情報を知らなくても、攻撃者のコンピューターを介して 2 人のユーザー間の通信を再ルーティングするときに発生します。 通信中の各ユーザーは、意図したユーザーとだけ通信していると考えながら、知らずに攻撃者との間でトラフィックを送受信します。

この問題の解決に役立つ Microsoft は何をしていますか?
この問題は Microsoft 製品の問題によるものではありませんが、それでも CTL を更新し、お客様を保護するための更新プログラムを提供しています。 Microsoft は引き続きこの問題を調査し、CTL に将来の変更を加えるか、お客様を保護するために将来の更新プログラムをリリースする可能性があります。

更新プログラムを適用した後、Microsoft 信頼されていない証明書ストア内の証明書を確認するにはどうすればよいですか?
失効した証明書の自動アップデーターを使用している Windows Vista、Windows 7、Windows Server 2008、および Windows Server 2008 R2 システムの場合 (詳細については、「Microsoft サポート技術情報の記事の2677070」を参照)、およびWindows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、および R2 システムWindows Server 2012、次の値を持つエントリのアプリケーション ログをイベント ビューアーにチェックできます。

  • ソース: CAPI2
  • レベル: Information
  • イベント ID: 4112
  • 説明: 有効日が 2014 年 7 月 3 日 (またはそれ以降) の許可されていない証明書リストの自動更新に成功しました。

失効した証明書の自動アップデーターを使用していないシステムの場合は、 証明書 MMC スナップインで、次の証明書が [信頼されていない証明書 ] フォルダーに追加されていることを確認します。

[証明書] 発行元 拇印
NIC 認定機関 CCA India 2007 48 22 82 4e ce 7e d1 45 0c 03 9a a0 77 dc 1f 8a e3 48 9b bf
NIC CA 2011 CCA India 2011 c6 79 64 90 cd ee aa b3 1a ed 79 87 52 ec d0 03 e6 86 6c b2
NIC CA 2014 CCA India 2014 d2 db f7 18 23 b2 b8 e7 8f 59 58 09 61 50 bf cb 97 cc 38 8a

メモ MMC スナップインで証明書を表示する方法については、MSDN の記事「 方法: MMC スナップインを使用して証明書を表示する」を参照してください。

Suggested Actions (推奨されるアクション)

Microsoft Windows のサポートされているリリースの更新プログラムを適用する

失効した証明書の自動アップデーターは、サポートされているエディションの Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2、および実行中のデバイスに含まれていますWindows Phone 8 または Windows Phone 8.1。 これらのオペレーティング システムまたはデバイスでは、CTL が自動的に更新されるため、お客様は何も操作する必要はありません。

失効した証明書の自動アップデーターを使用している Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 を実行しているシステムの場合 (詳細については、「 Microsoft サポート技術情報の記事 2677070 」を参照)、CTL が自動的に更新されるため、お客様は何も行う必要はありません。

Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 を実行しているシステムで、失効した証明書の自動アップデーターがインストールされていない場合、この更新プログラムは使用できません。 この更新プログラムを受け取るために、失効した証明書の自動アップデーターをインストールする必要があります (詳細については、「 Microsoft サポート技術情報の記事2677070 」を参照してください)。 切断された環境で、Windows Vista、Windows 7、Windows 8、Windows Server 2008、Windows Server 2008 R2、または Windows Server 2012 を実行しているお客様は、更新プログラム2813430をインストールしてこの更新プログラムを受け取ることができます (詳細については、「Microsoft サポート技術情報の記事の2813430」を参照してください)。

Windows Server 2003 を実行しているお客様には、更新管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムを確認するか、更新プログラムを手動でダウンロードして適用することで、 2982792 更新プログラムを直ちに適用することをお勧めします。 ダウンロード リンクについては、 Microsoft サポート技術情報の記事2982792 を参照してください。

その他の推奨アクション

  • PC を保護する

    引き続き、ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する「コンピューターの保護」ガイダンスに従うことをお勧めします。 詳細については、「 Microsoft Safety & Security Center」を参照してください。

  • Microsoft ソフトウェアの更新を維持する

    Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、 Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新が有効になっており、Microsoft 製品の更新プログラムを提供するように構成されている場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。

謝辞

Microsoft 、お客様を保護するために Microsoft と協力していただきありがとうございます。

その他の情報

Microsoft Active Protections Program (MAPP)

Microsoft は、お客様のセキュリティ保護を強化するために、毎月のセキュリティ更新プログラムリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供しています。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に最新の保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、 Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトにアクセスしてください。

フィードバック

サポート

免責情報

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を否認します。 Microsoft Corporation またはそのサプライヤーがこのような損害の可能性を通知された場合でも、直接的、間接的、付随的、派生的、事業利益の損失、特別な損害を含むいかなる損害についても、Microsoft Corporation またはそのサプライヤーは一切の責任を負いません。 一部の州では、派生的または付随的損害に対する責任の除外または制限が認められていないため、前述の制限が適用されない場合があります。

リビジョン

  • V1.0 (2014 年 7 月 10 日): アドバイザリが公開されました。
  • V2.0 (2014 年 7 月 17 日): サポートされているエディションの Windows Server 2003 の更新プログラムの2982792の可用性を発表するようにアドバイザリが改訂されました。 詳細については、このアドバイザリの 「推奨されるアクション」 セクションを参照してください。

Page generated 2014-07-31 13:34Z-07:00。