Windows Update のセキュリティ

• 適用対象:

  ✅ Windows 11, ✅ Windows 10

Windows Update (WU) システムにより、デバイスが安全に更新されます。 エンドツーエンドの保護により、プロトコル交換の操作を防ぎ、承認されたコンテンツのみが確実にインストールされます。 保護された環境によっては、Windows の更新プログラムに適切にアクセスできるように、ファイアウォールとプロキシルールを更新する必要がある場合があります。 この記事では、Windows Updateのセキュリティ機能の概要について説明します。

Windows Updateセキュリティの概要

Windows Updateシステムは、多数のコンテンツを配布します。 このコンテンツの例を次に示します。

• Windows オペレーティング システムへの更新
• Microsoft 365 Apps更新プログラム (Office 更新プログラム)
• ハードウェア ドライバー
• ウイルス対策の定義
• Microsoft Store アプリ

このシステムは、ユーザーがWindows Update設定ページと対話するとき、またはアプリケーションが WU クライアント サービス API を呼び出すときに開始されます。 これらの呼び出しは、Microsoft アプリケーションや Windows のさまざまな部分 (Microsoft 365 Apps、Microsoft Defender、プラグ アンド プレイ (PnP) など) によって、さまざまな時間に行われる場合があります。

このような操作が発生すると、デバイスで実行されているWindows Update サービスによって、Microsoft のWindows Update サーバーとインターネット経由で一連の交換がトリガーされます。 一般的なワークフローは次のとおりです。

1. Windows デバイスは、HTTPS (HTTP over TLS、TCP ポート 443) を使用して、Windows Update サービスに複数の接続を行います。
2. これらの接続を介して更新メタデータが交換され、更新プログラム、アプリ、ドライバー、その他の更新プログラムの一覧が表示されます。
3. デバイスは、結果の一覧から項目をダウンロードするかどうかを決定します。

ダウンロードの一覧が決定されると、実際の更新バイナリ ファイルがダウンロードされます。 ダウンロードは、標準の HTTP 呼び出し (TCP ポート 80) とセキュリティで保護されたピアツーピア ネットワーク呼び出し (TCP ポート 7680) の組み合わせで 配信の最適化 コンポーネントを介して行われます。 使用される方法は、デバイスの構成/グループ ポリシーに基づいています。

配信の最適化のピアツーピア (P2P) ネットワークを使用して更新プログラムをダウンロードする場合、コンテンツは各ピアからの受信時に整合性検証されます。 要求されたコンテンツが P2P ネットワークで使用できない場合、配信最適化コンポーネントは HTTP を使用してダウンロードします。

コンテンツのダウンロードに使用される方法に関係なく、結果のファイルは、インストールされる前にデジタル署名とファイル ハッシュを使用して検証されます。 検証では、ダウンロードが意図されたものであり、本物として検証され、改ざんされていないことが確認されます。

メタデータ接続のセキュリティ保護

Windows Update更新プログラムをスキャンすると、デバイスとWindows Update サーバー間で一連のメタデータ交換が行われます。 この交換は HTTPS (HTTP over TLS) を使用して行われます。 これらのセキュリティで保護された接続は証明書固定であり、次のことが保証されます。

• TLS 接続のサーバー証明書が検証されます (証明書の信頼、有効期限、失効、SAN エントリなど)
• 証明書の発行者は、正規の Microsoft Windows Updateとして検証されます

発行者が予期しない場合、または有効なWindows Update中間証明書でない場合、接続は失敗します。 証明書のピン留めにより、デバイスが正当な Microsoft サーバーに接続し、中間者攻撃を防ぐことができます。

Windows Update TLS 接続は証明書固定であるため、TLS プロキシはインターセプトなしでこれらの接続を渡すことが重要です。 プロキシ/ファイアウォールの例外を必要とする DNS 名の完全な一覧については、Windows Updateのトラブルシューティングに関する記事を参照してください。

これらの例外の IP アドレスまたは IP 範囲は、トラフィックの負荷分散などの目的で変更が行われると、時間の経過と伴って異なる場合があるため、Microsoft では提供されません。

予期されるWindows Updateサーバーの使用状況

Windows Update サービスのサーバーは、WU コンポーネントによってのみ使用されます。 エンド ユーザーがこれらのリモート エンドポイントと対話することは想定されません。 したがって、これらのサービス エンドポイントは、Web ブラウザーで想定どおりに解決されない可能性があります。 ユーザーがこれらのエンドポイントをさりげなく参照すると、パブリックに信頼された PKI、証明書の透明性のログ記録、TLS の要件など、最新の Web ブラウザーの期待に準拠できない場合があります。 この動作は想定されており、Windows Update システムの安全性とセキュリティに影響を与えるわけではありません。

サービス エンドポイントを参照しようとしているユーザーには、セキュリティ警告やコンテンツ アクセスエラーが表示される場合があります。 ここでも、この動作は、サービス エンドポイントが Web ブラウザーへのアクセスやユーザーのカジュアルな使用のために設計されていないため、予期されます。

コンテンツ配信のセキュリティ保護

更新バイナリをダウンロードするプロセスは、トランスポートの上のレイヤーで保護されます。 コンテンツは標準 HTTP (TCP ポート 80) を介してダウンロードできますが、コンテンツは厳格なセキュリティ検証プロセスを経ます。

ダウンロードはコンテンツ配信ネットワーク (CDN) を通じて負荷分散されるため、TLS を使用すると Microsoft の管理チェーンが破損します。 キャッシュ CDN への TLS 接続は、Microsoft ではなく CDN で終了するため、TLS 証明書は Microsoft 固有ではありません。 これは、MICROSOFT が CDN TLS 証明書を制御していないため、WU クライアントが CDN の信頼性を証明できないことを意味します。 さらに、CDN への TLS 接続では、CDN のキャッシュ ネットワーク内でコンテンツが操作されていないことは証明されません。 そのため、TLS は、エンド ツー エンドのWindows Updateワークフローに対してセキュリティ上の約束を提供しません。それ以外の場合は提供されます。

コンテンツの配信方法に関係なく、ダウンロードされると適切に検証されます。 コンテンツは、デジタル署名の検証やファイル ハッシュ チェックなどのさまざまな手法を使用して、信頼、整合性、意図について検証されます。 このレベルのコンテンツ検証により、TLS 単独よりもさらに多くのセキュリティレイヤーが提供されます。

Windows Server Update Services (WSUS)

WSUS を使用している企業にも同様のワークフローがあります。 ただし、クライアント デバイスは、インターネット経由で Microsoft のサーバーに接続するのではなく、企業の WSUS サーバーに接続します。 メタデータ交換に HTTP 接続と TLS (HTTPS) 接続のどちらを使用するかは、企業が決定する必要があります。 Microsoft では、TLS 接続を使用し、WSUS とのメタデータ交換に適した TLS 証明書ピン留め構成を使用してクライアント デバイスを構成することを強くお勧めします。 WSUS TLS 証明書のピン留めの詳細については、次を参照してください。

• Windows IT Pro ブログ: WSUS をスキャンする Windows デバイスのセキュリティを強化するための変更
• Windows IT Pro ブログ: 更新プログラムに WSUS を使用して Windows デバイスのセキュリティを強化する変更と証明書をスキャンする

WSUS サーバーは、 独自の更新プログラム カタログを更新すると、Microsoft のサーバー同期サービスに接続し、更新プログラムをスキャンします。 WSUS サーバー同期プロセスは、Windows Updateに接続するクライアント デバイスのメタデータ交換プロセスに似ています。 WSUS から Microsoft への接続は TLS 経由であり、WU クライアントの TLS 証明書のピン留めと同様に、Microsoft 証明書によって検証されます。