セキュリティ アドバイザリ
Microsoft セキュリティ アドバイザリ 2728973
承認されていないデジタル証明書がスプーフィングを許可する可能性がある
公開日: 2012 年 7 月 10 日 |更新日: 2012 年 9 月 5 日
バージョン: 1.2
一般情報
概要
Microsoft は、Microsoft が推奨するセキュリティで保護されたストレージプラクティス以外の Microsoft 証明機関を認識しています。 定期的なレビューでは、これらの証明書を信頼されていない証明書ストアに配置し、高い標準の公開キー 基盤 (PKI) 管理を満たす新しい証明機関に置き換えます。 証明機関の不正使用は認識されませんが、お客様を保護するための先制的な措置を講じられています。 この問題は、Microsoft Windows でサポートされているすべてのリリースに影響します。
Microsoft は、サポートされているすべてのリリースの Microsoft Windows の更新プログラムを提供しています。 この更新プログラムでは、信頼されていない証明書ストアに次の中間 CA 証明書が配置されます。
- Microsoft Genuine Windows 電話 パブリック プレビュー CA01
- Microsoft IPTVe CA
- Microsoft Online CA001
- Microsoft Online Svcs BPOS APAC CA1
- Microsoft Online Svcs BPOS APAC CA2
- Microsoft Online Svcs BPOS APAC CA3
- CN=Microsoft Online Svcs BPOS APAC CA4
- Microsoft Online Svcs BPOS APAC CA5
- Microsoft Online Svcs BPOS APAC CA6
- Microsoft Online Svcs BPOS CA1
- Microsoft Online Svcs BPOS CA2
- Microsoft Online Svcs BPOS CA2 (2 つの証明書)
- Microsoft Online Svcs BPOS EMEA CA1
- Microsoft Online Svcs BPOS EMEA CA2
- Microsoft Online Svcs BPOS EMEA CA3
- Microsoft Online Svcs BPOS EMEA CA4
- Microsoft Online Svcs BPOS EMEA CA5
- Microsoft Online Svcs BPOS EMEA CA6
- Microsoft Online Svcs CA1 (2 つの証明書)
- Microsoft Online Svcs CA3 (2 つの証明書)
- Microsoft Online Svcs CA4 (2 つの証明書)
- Microsoft Online Svcs CA5 (2 つの証明書)
- Microsoft Online Svcs CA6
推奨。 Microsoft Windows のサポートされているリリースでは、お客様が更新プログラムを直ちに適用することをお勧めします。 詳細については、このアドバイザリの 「推奨されるアクション」 セクションを参照してください。
既知の問題。Microsoft サポート技術情報の記事2728973 、この更新プログラムをインストールするときにお客様が経験する可能性がある現在の既知の問題について説明しています。
アドバイザリの詳細
問題のリファレンス
この問題の詳細については、次のリファレンスを参照してください。
| リファレンス | [識別] |
|---|---|
| Microsoft サポート技術情報の記事 | 2728973 |
影響を受けるソフトウェアとデバイス
このアドバイザリでは、影響を受ける次のソフトウェアとデバイスについて説明します。
| 影響を受けるソフトウェア |
|---|
| オペレーティング システム |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Itanium ベースのシステム用 Windows Server 2003 SP2 |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 for 32 ビット システム Service Pack 2 |
| x64 ベースシステム Service Pack 2 用 Windows Server 2008 |
| Windows Server 2008 for Itanium ベースのシステム Service Pack 2 |
| Windows 7 for 32 ビット システム |
| Windows 7 for 32 ビット システム Service Pack 1 |
| Windows 7 for x64 ベースのシステム |
| Windows 7 for x64 ベースのシステム Service Pack 1 |
| x64 ベースの Windows Server 2008 R2 |
| x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 |
| Windows Server 2008 R2 for Itanium-based Systems |
| Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1 |
| Server Core のインストール オプション |
| Windows Server 2008 for 32 ビット システム Service Pack 2 (Server Core インストール) |
| x64 ベースシステム Service Pack 2 用 Windows Server 2008 (Server Core インストール) |
| x64 ベース システム用 Windows Server 2008 R2 (Server Core インストール) |
| x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 (Server Core インストール) |
| 影響を受けのないデバイス |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
よく寄せられる質問
アドバイザリの範囲は何ですか?
このアドバイザリの目的は、Microsoft が推奨されるセキュリティで保護されたストレージプラクティスの外部にある Microsoft 証明機関を認識していることをお客様に通知することです。 定期的に確認を行い、豊富な注意を払って、これらの証明書を信頼されていない証明書ストアに配置し、高い標準の公開キー 基盤 (PKI) 管理を満たす新しい証明機関に置き換えます。 証明機関の不正使用は認識されませんが、お客様を保護するための先制的な措置を講じられています。 この問題は、Microsoft Windows でサポートされているすべてのリリースに影響します。
Microsoft は、この問題に対処する Microsoft Windows のサポートされているすべてのリリースに対して更新プログラムを発行しました。
この更新プログラムは、承認されていない他のデジタル証明書に対処しますか?
はい。このアドバイザリで説明されている 28 個の未承認の証明書に対処するだけでなく、この更新プログラムは累積的であり、前のアドバイザリで説明した未承認のデジタル証明書 (Microsoft セキュリティ アドバイザリ 2524375、Microsoft セキュリティ アドバイザリ 2607712、Microsoft セキュリティ アドバイザリ 2641690、および Microsoft セキュリティ アドバイザリ 2718704) に対処します。
この更新プログラムは、前のアドバイザリで説明した証明書に対応していますが、この更新プログラムには、以前のアドバイザリで導入されたすべての機能が含まれていないことに注意してください。 詳細については、Microsoft サポート技術情報の記事2728973の既知の問題を参照してください。
Windows 8 リリース プレビューまたは Windows Server 2012 リリース候補は、このアドバイザリで対処されている問題の影響を受けますか?
はい。 この更新プログラムは、Windows 8 リリース プレビューと Windows Server 2012 リリース候補で使用できます。 Windows 8 リリース プレビューと Windows Server 2012 リリース候補をお持ちのお客様は、システムに更新プログラムを適用することをお勧めします。 Windows 8 リリース プレビューおよび Windows Server 2012 リリース プレビューの更新プログラムを適用する方法については、このアドバイザリの 「推奨されるアクション」 セクションを参照してください。
暗号化とは
暗号化は、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号テキストと呼ばれます) の間で変換することによって、情報をセキュリティで保護する科学です。
あらゆる形式の暗号化では、キーと呼ばれる値が暗号化アルゴリズムと呼ばれるプロシージャと組み合わせて使用され、プレーンテキスト データを暗号テキストに変換します。 最も使い慣れた種類の暗号化である秘密鍵暗号化では、暗号テキストは同じキーを使用してプレーンテキストに変換されます。 ただし、2 番目の種類の暗号化である公開キー暗号化では、暗号化テキストをプレーンテキストに変換するために別のキーが使用されます。
デジタル証明書とは
公開キー暗号化では、秘密キーと呼ばれるいずれかのキーを秘密にしておく必要があります。 公開キーと呼ばれるもう 1 つのキーは、世界と共有することを目的としています。 ただし、キーの所有者がキーが属するユーザーを世界に伝える方法が必要です。 デジタル証明書は、これを行う方法を提供します。 デジタル証明書は、公開キーとその公開キーに関する情報をパッケージ化する改ざん防止データです。公開キーの所有者、使用できる情報、有効期限が切れた場合などです。
証明書の用途
証明書は主に、個人またはデバイスの ID の確認、サービスの認証、またはファイルの暗号化に使用されます。 通常、証明書についてまったく考慮する必要はありません。 ただし、証明書の有効期限が切れているか無効であることを示すメッセージが表示されることがあります。 このような場合は、メッセージの指示に従う必要があります。
証明機関 (CA) とは 証明機関は、証明書を発行する組織です。 ユーザーまたは他の証明機関に属する公開キーの信頼性を確立して検証し、証明書を要求する個人または組織の ID を確認します。
証明書信頼リスト (CTL) とは 署名されたメッセージの受信者とメッセージの署名者の間に信頼が存在する必要があります。 この信頼を確立する方法の 1 つは、証明書を通じて、エンティティまたは個人が誰であるかを検証する電子ドキュメントです。 証明書は、両方の当事者によって信頼されているサード パーティによってエンティティに発行されます。 そのため、署名済みメッセージの各受信者は、署名者の証明書の発行者が信頼できるかどうかを決定します。 CryptoAPI には、アプリケーション開発者が、信頼できる証明書またはルートの定義済みの一覧に対して証明書を自動的に検証するアプリケーションを作成できるようにする手法が実装されています。 この信頼されたエンティティの一覧 (サブジェクトと呼ばれます) は、証明書信頼リスト (CTL) と呼ばれます。 詳細については、MSDN の記事 「証明書の信頼の検証」を参照してください。
問題の原因は何ですか?
Microsoft は、Microsoft が推奨するセキュリティで保護されたストレージプラクティス以外の Microsoft 証明機関を認識しています。 証明機関の不正使用は認識されませんが、お客様を保護するための先制的な措置を講じられています。
攻撃者はこの問題を使用して何を行う可能性がありますか?
攻撃者は、これらの証明書を使用して、コンテンツのなりすまし、フィッシング攻撃、中間者攻撃を実行する可能性があります。
中間者攻撃とは
中間者攻撃は、攻撃者が 2 人のユーザーの情報を知らずに、攻撃者のコンピューターを介して 2 人のユーザー間の通信を再ルーティングするときに発生します。 通信の各ユーザーは、意図したユーザーとだけ通信していると考えながら、知らず知らずのうちに攻撃者との間でトラフィックを送受信します。
この問題の解決に役立つ Microsoft の取り組み
影響を受ける Microsoft 証明機関を信頼されていない証明書ストアに配置し、公開キー 基盤 (PKI) 管理の高い標準を満たす新しい証明機関に置き換えました。
更新プログラムを適用した後、Microsoft 信頼されていない証明書ストアの証明書を確認するにはどうすればよいですか?
Windows 8 リリース プレビューや Windows Server 2012 リリース候補など、失効した証明書の自動更新プログラム (詳細については、マイクロソフト サポート技術情報の記事2677070を参照) を使用するシステムの場合は、イベント ビューアーのアプリケーション ログを次の値でチェックできます。
- ソース: CAPI2
- レベル: Information
- イベント ID: 4112
- 説明: 有効日 :2012 年 6 月 21 日 (またはそれ以降) に、許可されていない証明書リストの自動更新に成功しました。
失効した証明書の自動アップデーターを使用していないシステムの場合は、証明書 MMC スナップインで、次の証明書が信頼されていない証明書フォルダーに追加されていることを確認します。
| 証明書 | Issued by | 拇印 |
|---|---|---|
| Microsoft Genuine Windows 電話 パブリック プレビュー CA01 | Microsoft Windows 電話 PCA | e3 8a 2b 76 63 b8 67 96 43 6d 8d f5 89 8d 9f aa 68 35 b2 38 |
| Microsoft IPTVe CA | Microsoft Home Entertainment PCA | be d4 12 b1 33 4d 7d fc eb a3 01 5e 5f 9f 90 5d 57 1c 45 cf |
| Microsoft Online CA001 | Microsoft Services PCA | a1 50 5d 98 43 c8 26 dd 67 ed 4e a5 20 98 04 bd bb 0d f5 02 |
| Microsoft Online Svcs BPOS APAC CA1 | Microsoft Services PCA | d4 31 53 c8 c2 5f 00 41 28 79 87 25 0f 1e 3c ab ac 8c 21 77 |
| Microsoft Online Svcs BPOS APAC CA2 | Microsoft Services PCA | d8 ce 8d 07 f9 f1 9d 25 69 c2 fb 85 44 01 bc 99 c1 eb 7c 3b |
| Microsoft Online Svcs BPOS APAC CA3 | Microsoft Services PCA | e9 5d d8 6f 32 c7 71 f0 34 17 43 eb d7 5e c3 3c 74 a3 de d9 |
| CN=Microsoft Online Svcs BPOS APAC CA4 | Microsoft Services PCA | 3a 26 01 21 71 85 5d 40 20 c9 73 be c3 f4 f9 da 45 bd 2b 83 |
| Microsoft Online Svcs BPOS APAC CA5 | Microsoft Services PCA | d0 bb 3e 3d fb fb 86 c0 ee e2 a0 47 e3 28 60 9e 6e 1f 18 5e |
| Microsoft Online Svcs BPOS APAC CA6 | Microsoft Services PCA | 08 73 8a 96 a4 85 3a 52 ac ef 23 f7 82 e8 e1 fe a7 bc ed 02 |
| Microsoft Online Svcs BPOS CA1 | Microsoft Services PCA | 76 13 bf 0b a2 61 00 6c ac 3e d2 dd be f3 43 42 53 57 f1 8b |
| Microsoft Online Svcs BPOS CA2 | Microsoft Services PCA | 58 7b 59 fb 52 d8 a6 83 cb e1 ca 00 e6 39 3d 7b b9 23 bc 92 |
| Microsoft Online Svcs BPOS CA2 | Microsoft Services PCA | 4e d8 aa 06 d1 bc 72 ca 64 c4 7b 1d fe 05 ac c8 d5 1f c7 6f |
| Microsoft Online Svcs BPOS CA2 | Microsoft Services PCA | f5 a8 74 f3 98 7e b0 a9 96 1a 56 4b 66 9a 90 50 f7 70 30 8a |
| Microsoft Online Svcs BPOS EMEA CA1 | Microsoft Services PCA | a3 5a 8c 72 7e 88 bc ca 40 a3 f9 67 9c e8 ca 00 c2 67 89 fd |
| Microsoft Online Svcs BPOS EMEA CA2 | Microsoft Services PCA | e9 80 9e 02 3b 45 12 aa 4d 4d 53 f4 05 69 c3 13 c1 d0 29 4d |
| Microsoft Online Svcs BPOS EMEA CA3 | Microsoft Services PCA | a7 b5 53 1d dc 87 12 9e 2c 3b b1 47 67 95 3d 67 45 fb 14 a6 |
| Microsoft Online Svcs BPOS EMEA CA4 | Microsoft Services PCA | 33 0d 8d 3f d3 25 a0 e5 fd dd a2 70 13 a2 e7 5e 71 30 16 5f |
| Microsoft Online Svcs BPOS EMEA CA5 | Microsoft Services PCA | 09 27 1d d6 21 eb d3 91 0c 2e a1 d0 59 f9 9b 81 81 40 5a 17 |
| Microsoft Online Svcs BPOS EMEA CA6 | Microsoft Services PCA | 83 8f fd 50 9d e8 68 f4 81 c2 98 19 99 2e 38 a4 f7 08 28 73 |
| Microsoft Online Svcs CA1 | Microsoft Services PCA | 23 ef 33 84 e2 1f 70 f0 34 c4 67 d4 cb a6 eb 61 42 9f 17 4e |
| Microsoft Online Svcs CA1 | Microsoft Services PCA | a2 21 d3 60 30 9b 5c 3c 40 97 c4 4c c7 79 ac c5 a9 84 5b 66 |
| Microsoft Online Svcs CA3 | Microsoft Services PCA | 89 77 e8 56 9d 2a 63 3a f0 1d 03 94 85 16 81 ce 12 26 83 a6 |
| Microsoft Online Svcs CA3 | Microsoft Services PCA | 37 4d 5b 92 5b 0b d8 34 94 e6 56 eb 80 87 12 72 75 db 83 ce |
| Microsoft Online Svcs CA4 | Microsoft Services PCA | 66 90 c0 2b 92 2c bd 3f f0 d0 a5 99 4d bd 33 65 92 88 7e 3f |
| Microsoft Online Svcs CA4 | Microsoft Services PCA | 5d 51 85 df 1e b7 dc 76 01 54 22 ec 81 38 a5 72 4b ee 28 86 |
| Microsoft Online Svcs CA5 | Microsoft Services PCA | a8 17 06 d3 1e 6f 5c 79 1c d9 d3 b1 b9 c6 34 64 95 4b a4 f5 |
| Microsoft Online Svcs CA5 | Microsoft Services PCA | 4d f1 39 47 49 3c ff 69 cd e5 54 88 1c 5f 11 4e 97 c3 d0 3b |
| Microsoft Online Svcs CA6 | Microsoft Services PCA | 09 ff 2c c8 6c ee fa 8a 8b b3 f2 e3 e8 4d 6d a3 fa bb f6 3e |
注 : MMC スナップインで証明書を表示する方法については、MSDN の記事 「方法: MMC スナップインで証明書を表示する」を参照してください。
推奨されるアクション
Windows XP および Windows Server 2003 のサポートされているエディションの場合
ほとんどのお客様は自動更新を有効にしており、KB (キロバイト)2728973更新プログラムが自動的にダウンロードおよびインストールされるため、何も行う必要はありません。 自動更新を有効にしていないお客様は、更新プログラムをチェックし、この更新プログラムを手動でインストールする必要があります。 自動更新の特定の構成オプションについては、マイクロソフト サポート技術情報の記事294871を参照してください。
管理者と企業のインストール、またはKB (キロバイト)2728973更新プログラムを手動でインストールするエンド ユーザーの場合は、更新管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックして、更新プログラムを直ちに適用することをお勧めします。 更新プログラムを手動で適用する方法の詳細については、マイクロソフト サポート技術情報の記事2728973を参照してください。
Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8 リリース プレビュー、Windows Server 2012 リリース プレビューのサポートされているエディションの場合
失効した証明書の自動更新機能は信頼されていない証明書ストアに証明書を自動的に追加することで問題に対処するため、ほとんどのお客様は自動更新を有効にしており、何も行う必要はありません。
失効した証明書の自動更新プログラムは、Microsoft Update サービスを通じて Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 で使用でき、Microsoft サポート技術情報の記事2677070で説明されています。 信頼されていない証明書の自動更新プログラムは、Windows 8 リリース プレビューと Windows Server 2012 リリース候補に含まれています。
失効した証明書 (2677070) の自動更新プログラムを持たないエンド ユーザー、またはインターネットに接続されていないシステムの場合は、KB (キロバイト)2728973更新プログラムを直ちに手動で適用することをお勧めします。 更新プログラムを手動で適用する方法の詳細については、Microsoft サポート技術情報の記事2728973を参照してください。
管理者と企業のインストールでは、更新管理ソフトウェアを使用してすぐに更新プログラムを適用することをお勧めします。 更新プログラムの詳細については、マイクロソフト サポート技術情報の記事2728973を参照してください。
その他の推奨されるアクション
PC を保護する
ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 これらの手順の詳細については、「コンピューターの保護」を参照してください。
インターネット上の安全を維持する方法の詳細については、Microsoft Security Central を参照してください。
Microsoft ソフトウェアを最新の状態に保つ
Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新を有効にして、Microsoft 製品の更新プログラムを提供するように構成している場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。
その他の情報
Microsoft Active Protections Program (MAPP)
お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトを参照してください。
フィードバック
- Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。
サポート
- 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 使用可能なサポート オプションの詳細については、Microsoft のヘルプとサポートを参照してください。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 国際サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポートを参照してください。
- Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。
免責情報
このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
- V1.0 (2012 年 7 月 10 日): アドバイザリが公開されました。
- V1.1 (2012 年 7 月 11 日): 許可されていない証明書一覧の有効日を、FAQ エントリの "2012 年 6 月 21 日以降の木曜日" に修正しました。"更新プログラムを適用した後、Microsoft 信頼されていない証明書ストアの証明書を確認するにはどうすればよいですか?
- V1.2 (2012 年 9 月 5 日): Microsoft Services PCA によって発行された "CN=Microsoft Online Svcs BPOS APAC CA4" 証明書の共通名を修正しました。
ビルド日: 2014-04-18T13:49:36Z-07:00