セキュリティ アドバイザリ

Microsoft セキュリティ アドバイザリ 2641690

不正なデジタル証明書がスプーフィングを可能にする可能性がある

公開日: 2011 年 11 月 10 日 |更新日: 2012 年 1 月 19 日

バージョン: 3.0

一般情報

概要

Microsoft は DigiCert Sdn を認識しています。 Entrust と GTE CyberTrust のマレーシアの下位証明機関 (CA) である Bhd は、弱い 512 ビット キーを持つ 22 個の証明書を発行しました。 これらの脆弱な暗号化キーを壊すと、攻撃者は証明書を不正に使用して、コンテンツのなりすまし、フィッシング攻撃、インターネット エクスプローラーのユーザーを含むすべての Web ブラウザー ユーザーに対する中間者攻撃を実行する可能性があります。 これは Microsoft 製品の脆弱性ではありませんが、この問題は、Microsoft Windows のサポートされているすべてのリリースに影響します。

DigiCert Sdn。 Bhd は、Microsoft ルート証明書プログラムのメンバーである DigiCert, Inc.と提携していません。

証明書が不正に発行されたという兆候はありません。 代わりに、暗号的に弱いキーを使用すると、証明書の一部を複製し、不正な方法で使用することができます。

Microsoft では、DigiCert Sdn の信頼を取り消す Microsoft Windows のサポートされているすべてのリリースの更新プログラムを提供しています。 Bhd。 この更新プログラムは、次の 2 つの中間 CA 証明書の信頼を取り消します。

  • Digisign サーバー ID - (エンリッチ)、Entrust.net 証明機関 (2048) によって発行されました
  • GTE CyberTrust Global Root によって発行された Digisign サーバー ID (Enrich)

推奨。 Microsoft では、更新プログラム管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックして、更新プログラムを直ちに適用することをお勧めします。 詳細については、 このアドバイザリの「推奨されるアクション」 セクションを参照してください。

既知の問題。Microsoft サポート技術情報の記事2641690 、この更新プログラムのインストール時にユーザーが発生する可能性がある現在の既知の問題について説明しています。 この記事では、これらの問題に対して推奨される解決策についても説明します。

アドバイザリの詳細

問題のリファレンス

この問題の詳細については、次のリファレンスを参照してください。

リファレンス [識別]
Microsoft サポート技術情報の記事 2641690 

影響を受けるソフトウェアとデバイス

このアドバイザリでは、次のソフトウェアとデバイスについて説明します。

影響を受けるソフトウェア
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Itanium ベースのシステム用 Windows Server 2003 SP2
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32 ビット システム Service Pack 2*
x64 ベースシステム Service Pack 2* 用 Windows Server 2008
Windows Server 2008 for Itanium ベースのシステム Service Pack 2
Windows 7 for 32 ビット システムおよび Windows 7 for 32 ビット システム Service Pack 1
x64 ベースシステム用の Windows 7 と x64 ベースのシステム用 Windows 7 Service Pack 1
x64 ベースシステム用 Windows Server 2008 R2 と x64 ベースシステム Service Pack 1* 用 Windows Server 2008 R2
Itanium ベースシステム用 Windows Server 2008 R2 と Itanium ベースのシステム Service Pack 1 用 Windows Server 2008 R2

*Server Core のインストールが影響を受けます。 このアドバイザリは、Server Core インストール オプションを使用してインストールされているかどうかに関係なく、示されているように、サポートされている Windows Server 2008 または Windows Server 2008 R2 のエディションに適用されます。 このインストール オプションの詳細については、TechNet の記事「Server Core のインストールの管理と Server Core インストールのサービス」を参照してください。 Server Core のインストール オプションは、Windows Server 2008 および Windows Server 2008 R2 の特定のエディションには適用されないことに注意してください。「Server Core インストール オプションの比較」を参照してください

影響を受けるデバイス
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

よく寄せられる質問

この勧告が 2012 年 1 月 19 日に改訂された理由Microsoft は、Windows Mobile 6.x、Windows 電話 7、および Windows 電話 7.5 デバイスの更新プログラムのリリースを発表するために、このアドバイザリを改訂しました。 詳細については、マイクロソフト サポート技術情報の記事2641690を参照してください

なぜこの勧告は2011年11月16日に改訂されたのですか?  Microsoft は、Windows XP Professional x64 Edition Service Pack 2 およびサポートされているすべてのエディションの Windows Server 2003 のKB (キロバイト)2641690更新プログラムの再リリースを発表するために、このアドバイザリを改訂しました。 再リリースされた更新プログラムは、Windows Server Update Services (WSUS) を使用しているお客様が示した問題に対処します。この場合、更新プログラムの適用性が正しく検出されませんでした。

Windows XP Professional x64 Edition Service Pack 2 およびサポートされているすべてのエディションの Windows Server 2003 のお客様は、このアドバイザリで説明されているように、不正な証明書の使用から保護するために、再リリースされたバージョンのKB (キロバイト)2641690更新プログラムを適用する必要があります。 Windows XP Service Pack 3 およびサポートされているエディションの Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 のお客様は、この再リリースの影響を受けません。

ほとんどのお客様は自動更新を有効にしており、再リリースされたKB (キロバイト)2641690更新プログラムが自動的にダウンロードおよびインストールされるため、何もする必要はありません。

アドバイザリの範囲は何ですか?  このアドバイザリの目的は、DigiCert Sdn を顧客に通知することです。 Bhd は、脆弱な 512 ビット キーを持つ 22 個の証明書を発行しました。 これらの弱いキーにより、証明書の一部が侵害される可能性があります。 Microsoft は、2 つの中間 CA 証明書を Microsoft 信頼されていない証明書ストアに移動する更新プログラムで、この下位 CA の信頼を取り消しました。

問題の原因は何ですか?  Microsoft は、Microsoft ルート証明書プログラムの CA である Entrust から、下位 CA の 1 つである DigiCert Sdn に通知されました。 Bhd では、弱い 512 ビット キーを持つ 22 個の証明書が発行されました。 さらに、この下位 CA は、適切な使用拡張機能や失効情報なしで証明書を発行しました。 これは、Microsoft ルート証明書プログラムの要件に 違反しています

証明書が不正に発行されたという兆候はありません。 代わりに、暗号的に弱いキーを使用すると、証明書の一部を複製し、不正な方法で使用することができました。 Entrust と GTE CyberTrust は、DigiCert Sdn に発行された中間 CA 証明書を取り消しました。 Bhd。 Microsoft では、お客様をさらに保護するために、これら 2 つの中間証明書の信頼を取り消す更新プログラムを提供しています。

攻撃者が証明書を複製する方法  デジタル署名は、証明書の秘密キーを所有しているユーザーのみが作成できます。 攻撃者は秘密キーを推測し、数学的手法を使用して推測が正しいかどうかを判断しようとする可能性があります。 秘密キーを正しく推測することの難しさは、キーで使用されるビット数に比例します。 そのため、キーが大きいほど、攻撃者が秘密キーを推測する時間が長くなります。 最新のハードウェアを使用すると、512 ビット キーを短時間で正常に推測できます。

攻撃者が不正な証明書を使用する方法攻撃者は、512 ビット証明書を使用して、コンテンツのなりすまし、フィッシング攻撃、インターネット エクスプローラーのユーザーを含むすべての Web ブラウザー ユーザーに対する中間者攻撃を実行する可能性があります。

この問題の解決に役立つ Microsoft の取り組み  この問題は Microsoft 製品の問題によるものではありませんが、Entrust と GTE CyberTrust によって発行された 2 つの中間証明書を Microsoft 信頼されていない証明書ストアに移動する更新プログラムをリリースしました。 Microsoft では、お客様が更新プログラムを直ちに適用することをお勧めします。

中間者攻撃とは  中間者攻撃は、攻撃者が 2 人のユーザーの情報を知らずに、攻撃者のコンピューターを介して 2 人のユーザー間の通信を再ルーティングするときに発生します。 通信の各ユーザーは、意図したユーザーとだけ通信していると考えながら、知らず知らずのうちに攻撃者との間でトラフィックを送受信します。

証明機関 (CA) とは  証明機関は、証明書を発行する組織です。 ユーザーまたは他の証明機関に属する公開キーの信頼性を確立して検証し、証明書を要求する個人または組織の ID を確認します。

証明書を取り消す手順は何ですか?  証明書が使用されている場合に証明書が受け入れられるのを防ぐために、証明機関に許可する標準的な手順があります。 すべての証明書発行者は、無効と見なされるすべての証明書を一覧表示する証明書失効リスト (CRL) を定期的に生成します。 すべての証明書は、CRL を取得できる場所を示す CRL 配布ポイント (CDP) と呼ばれるデータを提供する必要があります。

Web ブラウザーでデジタル証明書の ID を検証する別の方法は、オンライン証明書ステータス プロトコル (OCSP) を使用することです。 OCSP では、デジタル証明書に署名した証明機関 (CA) によってホストされている OCSP レスポンダーに接続することで、証明書を対話的に検証できます。 すべての証明書は、証明書の機関情報アクセス (AIA) 拡張機能を介して OCSP レスポンダーの場所へのポインターを提供する必要があります。 さらに、OCSP ステープリングを使用すると、Web サーバー自体がクライアントに OCSP 検証応答を提供できます。

OCSP 検証は、サポートされているエディションの Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 で、インターネット エクスプローラー 7 以降のバージョンのインターネット エクスプローラーで既定で有効になっています。 これらのオペレーティング システムでは、OCSP 検証チェックが失敗した場合、ブラウザーは CRL の場所に接続して証明書を検証します。

一部のネットワーク展開では、オンライン OCSP または CRL の更新が妨げられます。そのため、Microsoft は、Microsoft 信頼されていない証明書ストアにこれらの証明書を追加するすべてのバージョンの Microsoft Windows の更新プログラムをリリースしました。 これらの証明書を Microsoft 信頼されていない証明書ストアに移動すると、これらの不正な証明書がすべてのネットワーク展開シナリオで信頼されるわけではありません。

証明書失効チェックの詳細については、TechNet の記事「証明書失効と状態チェック」を参照してください。

無効な証明書エラーが発生した操作方法はわかりますか?  インターネット エクスプローラーで無効な証明書が検出されると、"この Web サイトのセキュリティ証明書に問題があります" という Web ページが表示されます。この警告メッセージが表示されたら、ユーザーは Web ページを閉じてサイトから移動することをお勧めします。

このメッセージは、証明書が無効であると判断された場合 (たとえば、ユーザーが証明書失効リスト (CRL) またはオンライン証明書状態プロトコル (OCSP) 検証を有効にしている場合など) にのみ表示されます。 OCSP 検証は、サポートされているエディションの Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 で、インターネット エクスプローラー 7 以降のバージョンのインターネット エクスプローラーで既定で有効になっています。

更新プログラムを適用した後、Microsoft 信頼されていない証明書ストアの証明書を確認するにはどうすればよいですか?  証明書を表示する方法については、MSDN の記事 「方法: MMC スナップインを使用して証明書を表示する」を参照してください。

証明書 MMC スナップインで、次の証明書が信頼されていない証明書フォルダーに追加されていることを確認します。

証明書 Issued by 拇印
Digisign サーバー ID - (エンリッチ) Entrust.net Certification Authority (2048) 8e 5b d5 0d 6a e6 86 d6 52 52 f8 43 a9 d4 b9 6d 19 77 30 ab
Digisign サーバー ID (エンリッチ) GTE CyberTrust Global Root 51 c3 24 7d 60 f3 56 c7 ca 3b af 4c 3f 42 9d ac 93 ee 7b 74

推奨されるアクション

Microsoft Windows のサポートされているリリースの場合

ほとんどのお客様は自動更新を有効にしており、KB (キロバイト)2641690更新プログラムが自動的にダウンロードおよびインストールされるため、何も行う必要はありません。 自動更新を有効にしていないお客様は、更新プログラムをチェックし、この更新プログラムを手動でインストールする必要があります。 自動更新の特定の構成オプションについては、マイクロソフト サポート技術情報の記事294871を参照してください

管理者と企業のインストール、またはKB (キロバイト)2641690更新プログラムを手動でインストールするエンド ユーザーの場合は、更新管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックして、更新プログラムを直ちに適用することをお勧めします。 更新プログラムを手動で適用する方法の詳細については、マイクロソフト サポート技術情報の記事2641690を参照してください

Windows Mobile 6.x、Windows 電話 7、Windows 電話 7.5 デバイスの場合

Windows Mobile 6.x、Windows 電話 7、および Windows 電話 7.5 デバイスの更新プログラムについては、Microsoft サポート技術情報の記事2641690を参照してください

その他の推奨されるアクション

  • PC を保護する

    ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 これらの手順の詳細については、「コンピューターの保護」を参照してください。

    インターネット上の安全を維持する方法の詳細については、Microsoft Security Central を参照してください

  • Microsoft ソフトウェアを最新の状態に保つ

    Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新を有効にして、Microsoft 製品の更新プログラムを提供するように構成している場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。

その他の情報

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトにアクセスしてください。

フィードバック

  • Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。

サポート

  • 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポート受けることができます。 使用可能なサポート オプションの詳細については、Microsoft のヘルプとサポートを参照してください
  • 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 国際サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポートを参照してください
  • Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責情報

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン

  • V1.0 (2011 年 11 月 10 日): アドバイザリが公開されました。
  • V2.0 (2011 年 11 月 16 日): KB (キロバイト)2641690更新プログラムの再リリースを発表するように改訂されました。 詳細については、このアドバイザリの更新に関する FAQ を参照してください。 また、エグゼクティブサマリーの既知の問題の下に、Microsoft サポート技術情報の記事2641690へのリンクを追加しました。
  • V3.0 (2012 年 1 月 19 日): Windows Mobile 6.x、Windows 電話 7、および Windows 電話 7.5 デバイスの更新プログラムのリリースを発表するように改訂されました。

ビルド日: 2014-04-18T13:49:36Z-07:00