Microsoft セキュリティ アドバイザリ 3097966
誤ってデジタル証明書を開示すると、スプーフィングが可能になる可能性がある
公開日: 2015 年 9 月 24 日 |更新日: 2015 年 10 月 13 日
バージョン: 2.0
概要
2015 年 9 月 24 日、Microsoft は、コンテンツのスプーフィングに使用される可能性がある 4 つの不注意で公開されたデジタル証明書を顧客に通知し、証明書のユーザー モードの信頼を削除するための証明書信頼リスト (CTL) の更新を提供するために、このアドバイザリを公開しました。 報告されているように、公開されたエンド エンティティ証明書を使用して他の証明書を発行したり、他の doメイン を偽装したりすることはできませんが、コードの署名に使用できます。 さらに、それぞれの発行元の証明機関は、4 つの証明書を取り消しました。
このアドバイザリの 2015 年 10 月 13 日の改訂により、Microsoft は、Windows のコード整合性コンポーネントを変更して、証明書の信頼の削除を拡張してカーネル モードのコード署名も除外する、サポートされているすべてのリリースの更新プログラムの提供を発表します。
推奨。 Microsoft Windows の特定のリリースの更新プログラムを適用する手順については、このアドバイザリの「推奨されるアクション」セクションを参照してください。 この問題から影響を受けるシステムを保護するには、2015 年 9 月 24 日にリリースされた CTL 更新プログラムと 2015 年 10 月 13 日にリリースされた Windows 更新プログラムの両方が必要であることに注意してください。
既知の問題。 Microsoft サポート技術情報の記事3097966 、2015 年 10 月 13 日の更新プログラムをインストールするときに発生する可能性がある現在の既知の問題について説明しています。 この記事では、推奨されるソリューションについても説明します。
アドバイザリの詳細
この問題の詳細については、次のリファレンスを参照してください。
| 参考文献 | [識別] |
|---|---|
| サポート技術情報の記事 | 3097966 |
影響を受けるソフトウェア
このアドバイザリは、次のオペレーティング システムに適用されます。
注 : Windows Server Technical Preview 3 が影響を受けます。 このオペレーティング システムを実行しているお客様は、Windows Update から入手できる更新プログラムを適用することをお勧めします。
[1]Windows 電話 8 および Windows 電話 8.1 デバイスは、2015 年 9 月 24 日の CTL 更新プログラムを自動的に受信しました。ただし、これらのデバイスでは、署名されている場合でもサード パーティ製ドライバーのインストールは許可されないため、2015 年 10 月 13 日のセカンダリ更新プログラムは必要ありません。
[2]Windows 10 更新プログラムは累積的です。 セキュリティ以外の更新プログラムを含むだけでなく、特定の月のセキュリティ リリースに付属するすべての Windows 10 の影響を受ける脆弱性に対するすべてのセキュリティ修正プログラムも含まれています。 この更新プログラムは、Windows Update カタログから入手できます。 詳細とダウンロード リンクについては、 マイクロソフト サポート技術情報の記事3097617 を参照してください。
アドバイザリに関する FAQ
なぜこの勧告は2015年10月13日に改訂されたのですか?
このアドバイザリは 2015 年 10 月 13 日に改訂され、4 つのデジタル証明書の信頼の削除を拡張してカーネル モードのコード署名も除外するように Windows のコード整合性コンポーネントを変更する Windows 更新プログラムが利用可能であることをお客様に通知しました。 詳細とダウンロード リンクについては、マイクロソフト サポート技術情報の記事3097966を参照してください。 このアドバイザリで説明されている問題から影響を受けるシステムを保護するには、2015 年 9 月 24 日にリリースされた CTL 更新プログラムと 2015 年 10 月 13 日にリリースされた Windows 更新プログラムの両方が必要であることに注意してください。
アドバイザリの範囲は何ですか?
このアドバイザリの目的は、4 つのデジタル証明書のユーザー モードの信頼とカーネル モード コード署名信頼を削除し、それぞれの発行元証明機関 (CA) が証明書を失効させたことを Windows と証明書信頼リスト (CTL) に更新したことをお客様に通知することです。
問題の原因は何ですか?
この問題は、D-Link Corporation が誤って証明書を発行したために発生しました。
CTL 更新プログラムは、他のデジタル証明書に対応していますか?
はい。このアドバイザリで説明されている証明書に対処するだけでなく、2015 年 9 月 24 日に最初にリリースされた CTL 更新プログラムは累積的であり、前のアドバイザリで説明したデジタル証明書が含まれています。
- Microsoft セキュリティ アドバイザリ 3050995
- Microsoft セキュリティ アドバイザリ 3046310
- Microsoft セキュリティ アドバイザリ 2982792
- Microsoft セキュリティ アドバイザリ 2916652
- Microsoft セキュリティ アドバイザリ 2798897
- Microsoft セキュリティ アドバイザリ 2728973
- Microsoft セキュリティ アドバイザリ 2718704
- Microsoft セキュリティ アドバイザリ 2641690
- Microsoft セキュリティ アドバイザリ 2607712
- Microsoft セキュリティ アドバイザリ 2524375
暗号化とは
暗号化は、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号テキストと呼ばれます) の間で変換することによって、情報をセキュリティで保護する科学です。
あらゆる形式の暗号化では、キーと呼ばれる値が暗号化アルゴリズムと呼ばれるプロシージャと組み合わせて使用され、プレーンテキスト データを暗号テキストに変換します。 最も使い慣れた種類の暗号化である秘密鍵暗号化では、暗号テキストは同じキーを使用してプレーンテキストに変換されます。 ただし、2 番目の種類の暗号化である公開キー暗号化では、暗号化テキストをプレーンテキストに変換するために別のキーが使用されます。
デジタル証明書とは
公開キー暗号化では、秘密キーと呼ばれるいずれかのキーを秘密にしておく必要があります。 公開キーと呼ばれるもう 1 つのキーは、世界と共有することを目的としています。 ただし、キーの所有者がキーが属するユーザーを世界に伝える方法が必要です。 デジタル証明書は、これを行う方法を提供します。 デジタル証明書は、公開キーとその情報 (誰が所有するか、何に使用できるか、有効期限が切れたときなど) と共にパッケージ化する改ざん防止データです。
証明書の用途
証明書は主に、個人またはデバイスの ID の確認、サービスの認証、またはファイルの暗号化に使用されます。 通常、証明書についてまったく考慮する必要はありません。 ただし、証明書の有効期限が切れているか無効であることを示すメッセージが表示されることがあります。 そのような場合は、メッセージの指示に従う必要があります。
証明機関 (CA) とは
証明機関は、証明書を発行する組織です。 ユーザーまたは他の証明機関に属する公開キーの信頼性を確立して検証し、証明書を要求する個人または組織の ID を確認します。
証明書信頼リスト (CTL) とは
署名されたメッセージの受信者とメッセージの署名者の間に信頼が存在する必要があります。 この信頼を確立する方法の 1 つは、証明書を通じて、エンティティまたは個人が誰であるかを検証する電子ドキュメントです。 証明書は、両方の当事者によって信頼されているサード パーティによってエンティティに発行されます。 そのため、署名済みメッセージの各受信者は、署名者の証明書の発行者が信頼できるかどうかを決定します。 CryptoAPI には、アプリケーション開発者が、信頼できる証明書またはルートの定義済みの一覧に対して証明書を自動的に検証するアプリケーションを作成できるようにする手法が実装されています。 この信頼されたエンティティの一覧 (サブジェクトと呼ばれます) は、証明書信頼リスト (CTL) と呼ばれます。 詳細については、MSDN の記事 「証明書の信頼の検証」を参照してください。
攻撃者はこれらの証明書に対して何を行う可能性がありますか?
攻撃者は証明書を使用してコードに不正に署名する可能性があります。
この問題を解決するために Microsoft は何をしていますか?
この問題は Microsoft 製品の問題によるものではありませんが、CTL を更新し、お客様を保護するために Windows 更新プログラムを提供しています。 Microsoft は引き続きこの問題を調査し、CTL に今後変更を加えたり、お客様を保護するために将来の更新プログラムをリリースしたりする可能性があります。
CTL 更新プログラムを適用した後、証明書が Microsoft 信頼されていない証明書ストアにあることを確認するにはどうすればよいですか?
Windows Vista、Windows 7、 失効した証明書の自動アップデーターを使用している Windows Server 2008 および Windows Server 2008 R2 システム (詳細については、Microsoft サポート技術情報の記事2677070を参照)、Windows 8、Windows 8.1、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2、および Windows 10 システムの場合は、イベント ビューアーでアプリケーション ログをチェックできます。次の値を持つエントリの場合:
- ソース: CAPI2
- レベル: Information
- イベント ID: 4112
- 説明: 2015 年 9 月 23 日 (水) 以降に、許可されていない証明書リストの自動更新に成功しました。
失効した証明書の自動アップデーターを使用していないシステムの場合は、証明書 MMC スナップインで、次の証明書が信頼されていない証明書フォルダーに追加されていることを確認します。
| [証明書] | **発行者** | 拇印 |
|---|---|---|
| DLINK CORPORATION | Symantec Corporation | 3e b4 4e 5f fe 6d c7 2d ed 70 3e 99 90 27 22 db 38 ff d1 cb |
| アルファ ネットワーク | Symantec Corporation | 73 11 e7 7e c4 00 10 9d 6a 53 26 d8 f6 69 62 04 fd 59 aa 3b |
| K Enterprise Edition BOX | GoDaddy.com、LLC | 91 5a 47 8d b9 39 92 5d a8 d9 ae a1 2d 8b ba 14 0d 26 59 9c |
| Trendnet | GoDaddy.com、LLC | db 50 42 ed 25 6f f4 26 86 7b 33 28 87 ec ce 2d 95 e7 96 14 |
注 : MMC スナップインで証明書を表示する方法については、MSDN の記事 「方法: MMC スナップインで証明書を表示する」を参照してください。
推奨されるアクション
2015 年 10 月 13 日にリリースされた3097966更新プログラムを適用する
ほとんどのお客様は自動更新を有効にしており、3097966更新プログラムが自動的にダウンロードおよびインストールされるため、何もする必要はありません。 自動更新を有効にしていないお客様は、更新プログラムをチェックし、この更新プログラムを手動でインストールする必要があります。 自動更新の特定の構成オプションについては、マイクロソフト サポート技術情報の記事3097966を参照してください。
管理者と企業のインストール、または3097966更新プログラムを手動でインストールするエンド ユーザーの場合は、更新プログラム管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックして、更新プログラムを直ちに適用することをお勧めします。 更新プログラムを手動で適用する方法の詳細については、マイクロソフト サポート技術情報の記事3097966を参照してください。
2015 年 9 月 24 日にリリースされた CTL 更新プログラムを適用します (まだ適用されていない場合)
失効した証明書の自動アップデーターは、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows RT 8.1、Windows Server 2012 R2、Windows 10、および Windows 電話 8 および Windows 電話 8.1 を実行しているデバイスでサポートされているエディションに含まれています。 これらのオペレーティング システムまたはデバイスでは、CTL が自動的に更新されるため、ユーザーは何もアクションを実行する必要はありません。
失効した証明書の自動アップデーターを使用している Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 を実行しているシステムの場合 (詳細については、Microsoft サポート技術情報の記事2677070を参照)、これらのシステムは自動的に保護されるため、何も行う必要はありません。
失効した証明書の自動更新プログラムがインストールされていない Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 を実行しているシステムの場合、この更新プログラムは使用できません。 この更新プログラムを受信するには、失効した証明書の自動更新プログラムをインストールする必要があります (詳細については、Microsoft サポート技術情報の記事2677070を参照してください)。 Windows Vista、Windows 7、Windows 8、Windows Server 2008、Windows Server 2008 R2、または Windows Server 2012 を実行している切断された環境のお客様は、更新プログラム2813430をインストールしてこの更新プログラムを受け取ることができます (詳細については、Microsoft サポート技術情報の記事2813430を参照してください)。
その他の推奨されるアクション
PC を保護する
ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 詳細については、「Microsoft セーフty & Security Center」を参照してください。
Microsoft ソフトウェアを最新の状態に保つ
Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新を有効にして、Microsoft 製品の更新プログラムを提供するように構成している場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。
セキュリティ更新プログラムの展開
セキュリティ更新プログラムの展開情報については、マイクロソフト サポート技術情報の 記事3097966を参照してください。
その他の情報
フィードバック
- Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。
サポート
- 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
- Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。
免責情報
このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
- V1.0 (2015 年 9 月 24 日): アドバイザリが公開されました。
- V2.0 (2015 年 10 月 13 日): アドバイザリが改訂され、このアドバイザリが対処する 4 つのデジタル証明書の信頼の削除を拡張するように Windows のコード整合性コンポーネントを変更する更新プログラムが利用可能であることをお客様に通知し、カーネル モードのコード署名も除外しました。
Page generated 2015-11-16 08:35-08:00.