セキュリティ アドバイザリ
Microsoft セキュリティ アドバイザリ 2876146
ワイヤレス PEAP-MS-CHAPv2 認証により、情報漏えいが可能になる
公開日: 2013 年 8 月 4 日
バージョン: 1.0
一般情報
概要
Microsoft は、WPA2 ワイヤレス認証のために Windows 電話 で使用される、PEAP-MS-CHAPv2 (Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 を使用した保護された拡張認証プロトコル) と呼ばれる Wi-Fi 認証プロトコルの既知の弱点を説明するパブリック レポートを認識しています。 脆弱なシナリオでは、攻撃者がこの問題を悪用した場合、対象デバイスに対する情報漏えいを実現する可能性があります。 現時点では、Microsoft はアクティブな攻撃や顧客への影響を認識していません。 Microsoft は、お客様に情報を提供し、必要に応じて顧客ガイダンスを提供するために、この状況を積極的に監視しています。
この問題を悪用するために、攻撃者が制御するシステムが既知の Wi-Fi アクセス ポイントを引き起こし、対象のデバイスが自動的にアクセス ポイントで認証を試み、攻撃者が被害者の暗号化された doメイン 資格情報を傍受できるようにする可能性があります。 その後、攻撃者は PEAP-MS-CHAPv2 プロトコルの暗号の弱点を悪用して、被害者の doメイン 資格情報を取得する可能性があります。 その後、これらの資格情報を再利用して、攻撃者をネットワーク リソースに対して認証し、攻撃者はそのネットワーク リソースに対してユーザーが実行できるあらゆるアクションを実行する可能性があります。
推奨。 認証プロセスを開始する前に、推奨されるアクションを適用して、ワイヤレス アクセス ポイントを確認する証明書を要求します。 詳細については、 このアドバイザリの「推奨されるアクション」 セクションを参照してください。
アドバイザリの詳細
影響を受けるソフトウェア
このアドバイザリでは、次のデバイスについて説明します。
| 影響を受けるデバイス オペレーティング システム |
|---|
| Windows Phone 8 |
| Windows Phone 7.8 |
アドバイザリに関する FAQ
アドバイザリの範囲は何ですか?
このアドバイザリの目的は、PEAP-MS-CHAPv2 と呼ばれる Wi-Fi 認証プロトコルに関する既知の弱点を説明するパブリック レポートを Microsoft が認識していることをお客様に通知することです。 この問題は、Windows 電話 デバイスに影響します。 この問題は、[影響を受けるソフトウェア] セクションに記載されているデバイス オペレーティング システムに影響します。
これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ですか?
いいえ。これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ではありません。 この問題は PEAP-MS-CHAPv2 プロトコルの既知の暗号上の弱点が原因であり、ワイヤレス アクセス ポイントと Windows 電話 8 デバイスで構成変更を実装することで対処されます。
攻撃者はこの問題を使用して何を行う可能性がありますか?
ほとんどのシナリオでは、攻撃者がこの問題を悪用した場合、対象デバイスから被害者の doメイン 資格情報の情報漏えいが発生する可能性があります。 攻撃者は、攻撃者の doメイン 資格情報を再利用してネットワーク リソースに対して攻撃者を認証し、ユーザーがそのネットワーク リソースに対して実行できる任意のアクションを実行する可能性があります。
攻撃者がこの問題を悪用する方法
攻撃者が制御するシステムは、既知の Wi-Fi アクセス ポイントを引き起こす可能性があり、これにより、被害者のデバイスは自動的にアクセス ポイントで認証を試み、攻撃者は被害者の暗号化された doメイン 資格情報を傍受できます。 その後、攻撃者は PEAP-MS-CHAPv2 プロトコルの暗号の弱点を悪用して、被害者の doメイン 資格情報を取得する可能性があります。
PEAP-MS-CHAPv2 とは
PEAP-MS-CHAPv2 は、承認されたデバイスのみがワイヤレス ネットワークに接続できるようにする目的で、アクセス ポイントに対してユーザーを認証するために使用されるワイヤレス認証プロトコルです。 PEAP-MS-CHAPv2 は、WPA2 ワイヤレス保護プロトコルで一般的に使用されます。
WPA2 とは
Wi-Fi Protected Access II (WPA2)、I Enterprise Edition E 802.11i は、ワイヤレス ネットワーク通信の機密性を確保するために使用されるセキュリティ プロトコルであり、WPA の後継です。
推奨されるアクション
このアドバイザリで説明されている問題の悪用から保護するには、次の推奨されるアクションのいずれかを適用します。
Windows 電話 8 デバイスから認証プロセスを開始する前に、ワイヤレス アクセス ポイントを確認する証明書が必要です
Windows 電話 8 デバイスは、認証プロセスを開始する前にネットワークが会社のネットワークであることを確認するために、ネットワーク アクセス ポイントを検証するように構成できます。 これを行うには、会社のサーバー上にある証明書を検証します。 証明書が認証サーバーに送信されたユーザー名とパスワードの情報であることを検証した後でのみ、電話は Wi-Fi ネットワークに接続できます。
証明書の発行:
企業の IT 部門は、ワイヤレス アクセス ポイントの検証に使用できるルート証明書を発行します。 証明書には覚えやすい名前が必要です。たとえば、"Contoso 企業ルート証明書" などです。 この証明書は、IT マネージド MDM (モバイル デバイス管理 ソリューション) を介して既にプロビジョニングされている可能性があります。
証明書は電子メール メッセージを介して発行できます。 電子メール メッセージには、Wi-Fi 証明書の検証を有効にする方法に関する IT 部門からの指示も含まれている必要があります。 たとえば、電子メール メッセージには次の手順が含まれる場合があります。
ワイヤレス アクセス ポイントを証明書検証する必要がある Windows 電話 8 の構成:
企業 IT からルート証明書を受け取った後、各 Windows 電話 8 ユーザーは次の手順を実行します。
以前に構成した Wi-Fi 接続を削除します。
- 設定の Wi-Fi で、[詳細設定] をタップします。
- 選択した Wi-Fi ネットワークを長押しし、[削除] を選択 します
新しい接続を作成し、サーバー証明書の検証を有効にします。
- Wi-Fi 設定で、エンタープライズ Wi-Fi ネットワーク アクセス ポイントをタップすると、サインイン ページが開きます
- ユーザー名とパスワードを入力する
- [サーバー証明書の検証] を [オン] に 切り替える
- タップして証明書を選択する
- 選択する証明書の一覧で、企業 IT から発行されたルート証明書 ("Contoso 企業ルート証明書" など) を選択し、[完了] をタップします 。
Windows 電話 デバイスで Wi-Fi をオフにする
設定の Wi-Fi で、タップして [Wi-Fi ネットワーク] を [オフ] に切り替えます
その他の情報
フィードバック
- Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。
サポート
- 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
- Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。
免責情報
このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
- V1.0 (2013 年 8 月 4 日): アドバイザリが公開されました。
ビルド日: 2014-04-18T13:49:36Z-07:00