Microsoft セキュリティ アドバイザリ 3033929
Windows 7 および Windows Server 2008 R2 で SHA-2 コード署名サポートを利用可能
公開日: 2015 年 3 月 10 日
バージョン: 1.0
一般情報
概要
Microsoft は、SHA-2 署名と検証機能のサポートを追加するために、サポートされているすべてのエディションの Windows 7 および Windows Server 2008 R2 の更新プログラムの再開を発表しています。 この更新プログラムは、インストール後に一部のお客様が発生した問題に対処するために、2014 年 10 月 17 日に取り消された2949927更新プログラムよりも優先されます。 元のリリースと同様に、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1 では、SHA-2 署名と検証機能が既にこれらのオペレーティング システムに含まれているため、この更新プログラムは必要ありません。 この更新プログラムは、Windows Server 2003、Windows Vista、または Windows Server 2008 では使用できません。
推薦。 自動更新を有効にし、Microsoft Update からの更新プログラムをオンラインでチェックするように構成されているお客様は、通常、このセキュリティ更新プログラムが自動的にダウンロードおよびインストールされるため、何らかのアクションを実行する必要はありません。 自動更新を有効にしていないお客様は、更新プログラムをチェックし、この更新プログラムを手動でインストールする必要があります。 自動更新の特定の構成オプションについては、「 Microsoft サポート技術情報の記事 294871」を参照してください。
更新プログラムを手動でインストールする (自動更新を有効にしていないお客様を含む) お客様の場合、Microsoft では、更新プログラム管理ソフトウェアを使用するか、 Microsoft Update サービスを使用して更新プログラムを確認することで、できるだけ早い機会に更新プログラムを適用することをお勧めします。 更新プログラムは、このアドバイザリの 「影響を受けるソフトウェア 」テーブルのダウンロード リンクからも入手できます。
アドバイザリの詳細
問題の参考資料
この問題の詳細については、次のリファレンスを参照してください。
| 参照 | [識別] |
|---|---|
| Microsoft サポート技術情報の記事 | 3033929 ( 2949927を置き換える) |
影響を受けるソフトウェア
このアドバイザリでは、次のソフトウェアについて説明します。
| オペレーティング システム | **更新置換** |
|---|---|
| Windows 7 for 32 ビット システム Service Pack 1\ (3033929)(1) | MS15-025 の3035131 |
| Windows 7 for x64 ベースのシステム Service Pack 1\ (3033929)(1) | MS15-025 の3035131 |
| Windows Server 2008 R2 for x64 ベースのシステム Service Pack 1\ (3033929)(1) | MS15-025 の3035131 |
| Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1\ (3033929)(1) | MS15-025 の3035131 |
| Server Core インストール オプション | MS15-025 の3035131 |
| Windows Server 2008 R2 for x64 ベースのシステム Service Pack 1 (Server Core インストール) \ (3033929)(1) | MS15-025 の3035131 |
[1]3033929更新プログラムは、 MS15-025 を介して同時にリリースされる3035131更新プログラムと共通するバイナリに影響を与えました。 更新プログラムを手動でダウンロードしてインストールし、両方の更新プログラムをインストールする予定のお客様は、3033929更新プログラムをインストールする前に、3035131更新プログラムをインストールする必要があります。 詳細については、アドバイザリに関する FAQ を参照してください。
アドバイザリに関する FAQ
アドバイザリの範囲は何ですか?
このアドバイザリの目的は、サポートされているすべてのエディションの Windows 7 および Windows Server 2008 R2 に SHA-2 ハッシュ アルゴリズムの機能を追加する更新プログラムをお客様に通知することです。
**これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ですか? **
いいえ。 SHA-1 に代わる署名メカニズムがしばらくの間使用でき、署名目的でハッシュ アルゴリズムとして SHA-1 を使用することは推奨されておらず、ベスト プラクティスではなくなりました。 Microsoft では、代わりに SHA-2 ハッシュ アルゴリズムを使用することをお勧めします。この更新プログラムをリリースして、お客様がより安全な SHA-2 ハッシュ アルゴリズムにデジタル証明書キーを移行できるようにします。
**SHA-1 ハッシュ アルゴリズムの問題の原因は何ですか?
**問題の根本原因は、SHA-1 ハッシュ アルゴリズムの既知の弱点であり、衝突攻撃にさらされています。 このような攻撃により、攻撃者は元のデジタル署名と同じ追加の証明書を生成する可能性があります。 これらの問題はよく理解されており、これらの攻撃に対する抵抗を必要とする特定の目的に対する SHA-1 証明書の使用は推奨されていません。 Microsoft では、セキュリティ開発ライフサイクルでは、Microsoft ソフトウェアの既定の機能として SHA-1 ハッシュ アルゴリズムを使用しなくなりました。 詳細については、「 Microsoft セキュリティ アドバイザリ 2880823 」および「Windows PKI ブログ エントリ SHA1 Deprecation Policy」を参照してください。
更新プログラムは何を行いますか?
この更新プログラムは、影響を受けるオペレーティング システムに SHA-2 ハッシュ アルゴリズムの署名と検証のサポートを追加します。これには、次のものが含まれます。
- キャビネット ファイルでの複数の署名のサポート
- Windows PE ファイルの複数の署名のサポート
- 複数のデジタル署名の表示を可能にする UI の変更
- カーネル内の署名を検証するコード整合性コンポーネントに対する RFC3161 タイムスタンプを検証する機能
- CertIsStrongHashToSign、CryptCATAdminAcquireContext2、CryptCATAdminCalcHashFromFileHandle2 など、さまざまな API のサポート
セキュリティで保護されたハッシュ アルゴリズム (SHA-1) とは
セキュリティで保護されたハッシュ アルゴリズム (SHA) は、デジタル署名アルゴリズム (DSA) またはデジタル署名標準 (DSS) で使用するために開発され、160 ビット ハッシュ値を生成します。 SHA-1 には、衝突攻撃にさらされる既知の弱点があります。 このような攻撃により、攻撃者は元のデジタル署名と同じ追加の証明書を生成する可能性があります。 SHA-1 の詳細については、「 ハッシュアルゴリズムと署名アルゴリズム」を参照してください。
RFC3161 とは
RFC3161 は、タイム スタンプ機関 (TSA) に対する要求と応答の形式を記述するインターネット X.509 公開キー 基盤 Time-Stamp プロトコル (TSP) を定義します。 TSA は、公開キー証明書の有効期間中にデジタル署名が生成されたことを証明するために使用できます。 「X.509 公開キー インフラストラクチャ」を参照してください。
デジタル証明書とは
公開キー暗号化では、秘密キーと呼ばれるいずれかのキーを秘密にしておく必要があります。 公開キーと呼ばれるもう 1 つのキーは、世界と共有することを目的としています。 ただし、キーの所有者がキーが属するユーザーを世界に伝える方法が必要です。 デジタル証明書は、これを行う方法を提供します。 デジタル証明書は、個人、組織、およびコンピューターのオンライン ID を認定するために使用される電子資格情報です。 デジタル証明書には、公開キーとその情報 (所有者、使用できる情報、期限切れなど) と共にパッケージ化された公開キーが含まれています。 詳細については、「 公開キー暗号化 と デジタル証明書について」を参照してください。
デジタル証明書の目的は何ですか?
デジタル証明書は、主に、個人またはデバイスの ID の確認、サービスの認証、またはファイルの暗号化に使用されます。 通常、証明書の有効期限が切れているか無効であることを示すメッセージが表示される場合を除き、証明書についてまったく考慮する必要はありません。 このような場合は、メッセージに記載されている指示に従う必要があります。
この更新プログラム (3033929) は、MS15-025 で説明されている3035131更新プログラムとどのように関連していますか?
この更新プログラム (3033929) は、 MS15-025 を介して同時にリリースされる3035131更新プログラムと、影響を受けるバイナリを共有します。 この重複により、一方の更新プログラムがもう一方の更新プログラムよりも優先され、この場合、アドバイザリ更新プログラム3033929が更新プログラムの3035131よりも優先されます。 自動更新が有効になっているお客様には、通常とは異なるインストール動作は発生しません。両方の更新プログラムが自動的にインストールされ、両方がインストールされている更新プログラムの一覧に表示されます。 ただし、更新プログラムを手動でダウンロードしてインストールするお客様の場合、更新プログラムをインストールする順序によって、観察される動作が次のように決定されます。
シナリオ 1 (推奨): お客様は最初に更新プログラム 3035131をインストールしてから、アドバイザリ更新プログラムの3033929をインストールします。
結果: 両方の更新プログラムが正常にインストールされ、両方の更新プログラムがインストールされている更新プログラムの一覧に表示されます。
シナリオ 2: お客様は最初にアドバイザリ更新プログラム 3033929をインストールしてから、更新プログラム 3035131のインストールを試みます。
結果: インストーラーは、3035131更新プログラムがシステムに既にインストールされていることをユーザーに通知します。3035131更新プログラムは、インストールされている更新プログラムの一覧に追加されません。
Suggested Actions (推奨されるアクション)
Microsoft Windows のサポートされているリリースの更新プログラムを適用する
ほとんどのお客様は自動更新を有効にしており、更新プログラムが自動的にダウンロードされてインストールされるため、何も行う必要はありません。 自動更新を有効にしていないお客様は、更新プログラムをチェックし、この更新プログラムを手動でインストールする必要があります。 自動更新の特定の構成オプションについては、「 Microsoft サポート技術情報の記事 294871」を参照してください。
管理者と企業のインストール、またはこのセキュリティ更新プログラムを手動でインストールするエンド ユーザー (自動更新を有効にしていないお客様を含む) の場合、Microsoft では、更新プログラム管理ソフトウェアを使用するか、 Microsoft Update サービスを使用して更新プログラムを確認することで、できるだけ早い機会に更新プログラムを適用することをお勧めします。 更新プログラムは、このアドバイザリの 「影響を受けるソフトウェア 」テーブルのダウンロード リンクからも入手できます。
その他の推奨アクション
PC を保護する
引き続き、ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関するコンピューターの保護に関するガイダンスに従うことをお客様にお勧めします。 詳細については、「 Microsoft Safety & Security Center」を参照してください。
Microsoft ソフトウェアの更新を維持する
Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、 Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新が有効になっており、Microsoft 製品の更新プログラムを提供するように構成されている場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。
その他の情報
Microsoft Active Protections Program (MAPP)
Microsoft は、お客様のセキュリティ保護を強化するために、毎月のセキュリティ更新プログラムリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供しています。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に最新の保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、 Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトにアクセスしてください。
フィードバック
- フィードバックを提供するには、Microsoft の [ヘルプとサポート] フォーム「 カスタマー サービスにお問い合わせください」を入力します。
サポート
- 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、「 Microsoft のヘルプとサポート」を参照してください。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、「 国際サポート」を参照してください。
- Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。
免責情報
このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を否認します。 Microsoft Corporation またはそのサプライヤーがこのような損害の可能性を通知された場合でも、直接的、間接的、付随的、派生的、事業利益の損失、特別な損害を含むいかなる損害についても、Microsoft Corporation またはそのサプライヤーは一切の責任を負いません。 一部の州では、派生的または付随的損害に対する責任の除外または制限が認められていないため、前述の制限が適用されない場合があります。
リビジョン
- V1.0 (2015 年 3 月 10 日): アドバイザリが公開されました。
Page generated 2015-03-04 14:52Z-08:00。