Security Advisory
マイクロソフト セキュリティ アドバイザリ 2728973
承認されていないデジタル証明書により、なりすましが行われる
公開日: 2012年7月10日 | 最終更新日: 2012年9月13日
バージョン: 1.2
概説
概要
マイクロソフトは、弊社の推奨する安全な格納手続きを実施していないマイクロソフト証明機関の存在を認識しています。定期的なレビューにおいて、マイクロソフトでは、これらの証明書を信頼されていない証明書ストアに配置し、弊社の高水準の公開キー基盤 (PKI) 管理に対応する新しい証明機関で置き換えています。マイクロソフトは、証明書の悪用については認識していませんが、お客様を保護するために先制的な措置を講じています。この問題は、すべてのサポートされているリリースの Microsoft Windows に影響を及ぼします。
マイクロソフトはすべてのサポートされているリリースの Microsoft Windows に対して更新プログラムを提供しています。この更新プログラムは、以下の中間 CA による証明書を信頼されていない証明書ストアに配置します。
- Microsoft Genuine Windows Phone Public Preview CA01
- Microsoft IPTVe CA
- Microsoft Online CA001
- Microsoft Online Svcs BPOS APAC CA1
- Microsoft Online Svcs BPOS APAC CA2
- Microsoft Online Svcs BPOS APAC CA3
- CN=Microsoft Online Svcs BPOS APAC CA4
- Microsoft Online Svcs BPOS APAC CA5
- Microsoft Online Svcs BPOS APAC CA6
- Microsoft Online Svcs BPOS CA1
- Microsoft Online Svcs BPOS CA2
- Microsoft Online Svcs BPOS CA2 (証明書 2 件)
- Microsoft Online Svcs BPOS EMEA CA1
- Microsoft Online Svcs BPOS EMEA CA2
- Microsoft Online Svcs BPOS EMEA CA3
- Microsoft Online Svcs BPOS EMEA CA4
- Microsoft Online Svcs BPOS EMEA CA5
- Microsoft Online Svcs BPOS EMEA CA6
- Microsoft Online Svcs CA1 (証明書 2 件)
- Microsoft Online Svcs CA3 (証明書 2 件)
- Microsoft Online Svcs CA4 (証明書 2 件)
- Microsoft Online Svcs CA5 (証明書 2 件)
- Microsoft Online Svcs CA6
推奨する対応策: サポートされているリリースの Microsoft Windows に対して、マイクロソフトは直ちにこの更新プログラムを適用することをお勧めします。詳細情報は、このセキュリティ アドバイザリの「推奨するアクション」の欄を参照してください。
既知の問題: サポート技術情報 2728973 で、このセキュリティ更新プログラムをインストールする際に起こる可能性のある既知の問題に関して説明しています。
アドバイザリの詳細
問題に関するリファレンス
この問題に関する詳細情報については、次のリファレンスを参照してください。
| 参照情報 | 番号 |
|---|---|
| マイクロソフト サポート技術情報 | 2728973 |
影響を受けるソフトウェアおよびデバイス
このアドバイザリは次のソフトウェアおよびデバイスについて説明しています。
| 影響を受けるソフトウェア |
|---|
| オペレーティング システム |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 with SP2 for Itanium-based Systems |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 for 32-bit Systems Service Pack 2 |
| Windows Server 2008 for x64-based Systems Service Pack 2 |
| Windows Server 2008 for Itanium-based Systems Service Pack 2 |
| Windows 7 for 32-bit Systems |
| Windows 7 for 32-bit Systems Service Pack 1 |
| Windows 7 for x64-based Systems |
| Windows 7 for x64-based Systems Service Pack 1 |
| Windows Server 2008 R2 for x64-based |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 |
| Windows Server 2008 R2 for Itanium-based Systems |
| Windows Server 2008 R2 for Itanium-based Systems Service Pack 1 |
| Server Core インストール オプション |
| Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core インストール) |
| Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core インストール) |
| Windows Server 2008 R2 for x64-based Systems (Server Core インストール) |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール) |
| 影響を受けないソフトウェア |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
よく寄せられる質問
このアドバイザリの目的は何ですか?
このアドバイザリの目的は、マイクロソフトが、弊社の推奨する安全な格納手続きを実施していないマイクロソフト証明の機関の存在を認識していることをお知らせすることです。定期的なレビューおよび多数の警告から、マイクロソフトでは、これらの証明書を信頼されていない証明書ストアに配置し、弊社の高水準の公開キー基盤 (PKI) 管理に対応する新しい証明機関で置き換えています。マイクロソフトは、証明書の悪用については認識していませんが、お客様を保護するために先制的な措置を講じています。この問題は、すべてのサポートされているリリースの Microsoft Windows に影響を及ぼします。
マイクロソフトはすべてのサポートされるリリースの Microsoft Windows にこの問題に対応するための更新プログラムを提供しました。
この更新プログラムはその他の承認されていないデジタル証明書にも対応していますか***?***
はい。このアドバイザリで説明している 28 個の承認されていない証明書に加え、この更新プログラムは累積的なもので、以前のアドバイザリで説明している承認されていないデジタル証明書にも対応しています: マイクロソフト セキュリティ アドバイザリ 2524375、マイクロソフト セキュリティ アドバイザリ 2607712、マイクロソフト セキュリティ アドバイザリ 2641690、およびマイクロソフト セキュリティ アドバイザリ 2718704。
この更新プログラムは、以前のアドバイザリで説明されている証明書に対応しますが、以前のアドバイザリで導入されるすべての機能が含まれているわけではないことに注意してください。詳細については、サポート技術情報 2728973 の既知の問題を参照してください。
Windows 8 Release Preview および Windows Server 2012 RC 版 は、 この アドバイザリで対応されている 問題の影響を受けますか?
はい。Windows 8 Release Preview および Windows Server 2012 RC 版向けの更新プログラムが利用可能です。Windows 8 Release Preview および Windows Server 2012 RC 版をご使用のお客様は、システムにこの更新プログラムを適用することをお勧めします。Windows 8 Release Preview および Windows Server 2012 Release Preview に対してこの更新プログラムを適用する方法については、このアドバイザリの「推奨するアクション」を参照してください。
暗号化とは何ですか?
暗号化とは、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号文として知られています) 間で情報を変換することにより、情報を保護する技術です。
すべての暗号化の形式で、プレーンテキスト データを暗号文に変換するために、暗号アルゴリズムと呼ばれるプロシージャと共に、キーと呼ばれる値が使用されます。最もよく知られた暗号化の種類は、秘密キーの暗号化で、暗号文が同じキーを使用してプレーンテキストに復号化されます。しかし、別の種類の暗号化である公開キーの暗号化では、暗号化テキストをプレーンテキストに復号化するために異なるキーが使用されます。
デジタル証明書とは何ですか?
公開鍵暗号では、キーの 1 つである秘密キーと呼ばれるキーは秘密にされている必要があります。公開キーと呼ばれているもう 1 つのキーは世界で共有されることが意図されています。しかし、キーの所有者がキーが誰に属しているかを公に知らせる方法が必要になります。デジタル証明書はこれを実行する方法を提供します。デジタル証明書は改ざんができないデータの一部で、公開キーと、公開キーについての情報 (所有者情報、使用用途、有効期限、その他の関連情報) を含みます。
証明書が使用される目的は何ですか?
証明書は主に人物またはデバイスの身元の確認、サービスの認証、またはファイルの暗号化に使用されます。通常、証明書について何も考える必要はありません。しかし、証明書の有効期限が切れている、または無効であることを示すメッセージが表示されることがあります。このような場合、メッセージの説明に従ってください。
証明機関 (CA) とは何ですか?
証明機関とは、証明書を発行する組織のことです。証明機関は、人物またはその他の証明機関に属す公開キーの信頼性を確立し、検証します。また、証明書を要求する人物または組織の身元を確認します。
証明書信頼リスト (CTL) とは何ですか?
信頼は署名されたメッセージの受信者とメッセージの署名者の間で存在しければなりません。この信頼を確立するための 1 つの方法は、その機関や人物が本物かどうかを確認するための電子ドキュメントである、証明書を通して行うことです。各証明書は、両者によって信頼された第三者機関によって各機関に発行されます。そして、署名されたメッセージの各受信者は、署名者の証明書の発行元が信頼できるかどうかを決定します。CryptoAPI は、アプリケーション開発者が信頼された証明書やルートの所定のリストに対して自動的に証明書を認証するアプリケーションを作成する手法を実装しました。この信頼された機関 (いわゆる subject) のリストは、証明書信頼リスト (CTL) と呼ばれています。詳細情報は、MSDN ライブラリ Certificate Trust Verification (英語情報) を参照してください。
この問題の原因は何ですか?
マイクロソフトは、弊社の推奨する安全な格納手続きを実施していないマイクロソフト証明機関の存在を認識しています。マイクロソフトは、証明書の悪用については認識していませんが、お客様を保護するために先制的な措置を講じています。
攻撃者は、この 問題 を悪用して何を行う可能性がありますか?
攻撃者はこれらの証明書を悪用し、コンテンツのなりすまし、フィッシング攻撃の実行、または中間者攻撃を行う可能性があります。
中間者攻撃とは何ですか?
中間者攻撃は、通信中の双方のユーザーに気付くことなく、攻撃者のコンピューターで双方のユーザー間の通信が経路変更された際に発生する攻撃です。通信中の双方のユーザーは、意図した受信者とのみ通信中であると思い、気付かないまま攻撃者とトラフィックの送受信を行います。
マイクロソフトはこの問題解決の手助けを行うために何をしていますか?
マイクロソフトでは、影響を受けるマイクロソフトの証明機関を信頼されていない証明書ストアに配置し、弊社の高水準の公開キー基盤 (PKI) 管理に対応する新しい証明機関で置き換えました。
更新プログラムを適用した後、マイクロソフトの信頼されていない証明書ストア内の証明書をどのように確認することができますか?
Windows 8 Release Preview および Windows Server 2012 RC 版も含め、失効した証明書の自動更新ツール (詳細については、サポート技術情報 2677070 を参照してください) を使用しているシステムの場合は、イベント ビューアーのアプリケーション ログから、次の値を含むエントリを確認できます。
- ソース: CAPI2
- レベル: 情報
- イベント ID: 4112
- 説明:許可されない証明書リストの自動更新に成功しました。有効期限: 2012 年 6 月 21 日 (またはそれ以降)。
失効した証明書の自動更新ツールを使用していないシステムの場合は、証明書 MMC スナップインで、次の証明書が信頼されていない証明書のフォルダーに追加されていることを確認してください。
| 証明書 | 発行者 | 拇印 |
|---|---|---|
| Microsoft Genuine Windows Phone Public Preview CA01 | Microsoft Windows Phone PCA | e3 8a 2b 76 63 b8 67 96 43 6d 8d f5 89 8d 9f aa 68 35 b2 38 |
| Microsoft IPTVe CA | Microsoft Home Entertainment PCA | be d4 12 b1 33 4d 7d fc eb a3 01 5e 5f 9f 90 5d 57 1c 45 cf |
| Microsoft Online CA001 | Microsoft Services PCA | a1 50 5d 98 43 c8 26 dd 67 ed 4e a5 20 98 04 bd bb 0d f5 02 |
| Microsoft Online Svcs BPOS APAC CA1 | Microsoft Services PCA | d4 31 53 c8 c2 5f 00 41 28 79 87 25 0f 1e 3c ab ac 8c 21 77 |
| Microsoft Online Svcs BPOS APAC CA2 | Microsoft Services PCA | d8 ce 8d 07 f9 f1 9d 25 69 c2 fb 85 44 01 bc 99 c1 eb 7c 3b |
| Microsoft Online Svcs BPOS APAC CA3 | Microsoft Services PCA | e9 5d d8 6f 32 c7 71 f0 34 17 43 eb d7 5e c3 3c 74 a3 de d9 |
| CN=Microsoft Online Svcs BPOS APAC CA4 | Microsoft Services PCA | 3a 26 01 21 71 85 5d 40 20 c9 73 be c3 f4 f9 da 45 bd 2b 83 |
| Microsoft Online Svcs BPOS APAC CA5 | Microsoft Services PCA | d0 bb 3e 3d fb fb 86 c0 ee e2 a0 47 e3 28 60 9e 6e 1f 18 5e |
| Microsoft Online Svcs BPOS APAC CA6 | Microsoft Services PCA | 08 73 8a 96 a4 85 3a 52 ac ef 23 f7 82 e8 e1 fe a7 bc ed 02 |
| Microsoft Online Svcs BPOS CA1 | Microsoft Services PCA | 76 13 bf 0b a2 61 00 6c ac 3e d2 dd be f3 43 42 53 57 f1 8b |
| Microsoft Online Svcs BPOS CA2 | Microsoft Services PCA | 58 7b 59 fb 52 d8 a6 83 cb e1 ca 00 e6 39 3d 7b b9 23 bc 92 |
| Microsoft Online Svcs BPOS CA2 | Microsoft Services PCA | 4e d8 aa 06 d1 bc 72 ca 64 c4 7b 1d fe 05 ac c8 d5 1f c7 6f |
| Microsoft Online Svcs BPOS CA2 | Microsoft Services PCA | f5 a8 74 f3 98 7e b0 a9 96 1a 56 4b 66 9a 90 50 f7 70 30 8a |
| Microsoft Online Svcs BPOS EMEA CA1 | Microsoft Services PCA | a3 5a 8c 72 7e 88 bc ca 40 a3 f9 67 9c e8 ca 00 c2 67 89 fd |
| Microsoft Online Svcs BPOS EMEA CA2 | Microsoft Services PCA | e9 80 9e 02 3b 45 12 aa 4d 4d 53 f4 05 69 c3 13 c1 d0 29 4d |
| Microsoft Online Svcs BPOS EMEA CA3 | Microsoft Services PCA | a7 b5 53 1d dc 87 12 9e 2c 3b b1 47 67 95 3d 67 45 fb 14 a6 |
| Microsoft Online Svcs BPOS EMEA CA4 | Microsoft Services PCA | 33 0d 8d 3f d3 25 a0 e5 fd dd a2 70 13 a2 e7 5e 71 30 16 5f |
| Microsoft Online Svcs BPOS EMEA CA5 | Microsoft Services PCA | 09 27 1d d6 21 eb d3 91 0c 2e a1 d0 59 f9 9b 81 81 40 5a 17 |
| Microsoft Online Svcs BPOS EMEA CA6 | Microsoft Services PCA | 83 8f fd 50 9d e8 68 f4 81 c2 98 19 99 2e 38 a4 f7 08 28 73 |
| Microsoft Online Svcs CA1 | Microsoft Services PCA | 23 ef 33 84 e2 1f 70 f0 34 c4 67 d4 cb a6 eb 61 42 9f 17 4e |
| Microsoft Online Svcs CA1 | Microsoft Services PCA | a2 21 d3 60 30 9b 5c 3c 40 97 c4 4c c7 79 ac c5 a9 84 5b 66 |
| Microsoft Online Svcs CA3 | Microsoft Services PCA | 89 77 e8 56 9d 2a 63 3a f0 1d 03 94 85 16 81 ce 12 26 83 a6 |
| Microsoft Online Svcs CA3 | Microsoft Services PCA | 37 4d 5b 92 5b 0b d8 34 94 e6 56 eb 80 87 12 72 75 db 83 ce |
| Microsoft Online Svcs CA4 | Microsoft Services PCA | 66 90 c0 2b 92 2c bd 3f f0 d0 a5 99 4d bd 33 65 92 88 7e 3f |
| Microsoft Online Svcs CA4 | Microsoft Services PCA | 5d 51 85 df 1e b7 dc 76 01 54 22 ec 81 38 a5 72 4b ee 28 86 |
| Microsoft Online Svcs CA5 | Microsoft Services PCA | a8 17 06 d3 1e 6f 5c 79 1c d9 d3 b1 b9 c6 34 64 95 4b a4 f5 |
| Microsoft Online Svcs CA5 | Microsoft Services PCA | 4d f1 39 47 49 3c ff 69 cd e5 54 88 1c 5f 11 4e 97 c3 d0 3b |
| Microsoft Online Svcs CA6 | Microsoft Services PCA | 09 ff 2c c8 6c ee fa 8a 8b b3 f2 e3 e8 4d 6d a3 fa bb f6 3e |
注: MMC スナップインで証明書を表示する方法については、MSDN ライブラリの「方法:MMC スナップインを使用して証明書を参照する」を参照してください。
推奨するアクション
Windows XP および Windows Server 2003 のサポートされている エディションの場合
自動更新を有効にしている大多数のお客様には、更新プログラム KB2728973 が自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。自動更新を有効にしていない場合、この更新プログラムを手動で確認し、インストールする必要があります。自動更新の具体的な構成オプションの詳細については、サポート技術情報 294871 を参照してください。
マイクロソフトは、管理者およびエンタープライズ インストール、または更新プログラム KB2728973 の手動インストールを希望するエンド ユーザーに対し、更新プログラム管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムを確認することによって、この更新プログラムを直ちに適用することをお勧めします。この更新プログラムを手動で更新する方法については、サポート技術情報 2728973 を参照してください。
Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、 Windows 8 Release Preview、および Windows Server 2012 Release Preview のサポートされている エディションの場合
自動更新を有効にしている大多数のお客様には、失効した証明書の自動更新ツールにより、証明書が信頼されていない証明書ストアに自動的に追加されることでこの問題が解決されるため、特別な措置を講じる必要はありません。
失効した証明書の自動更新ツールは、Microsoft Update サービスを通じて Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 で利用でき、マイクロソフト サポート技術情報 2677070 で説明されています。信頼されていない証明書の自動更新ツールは、Windows 8 Release Preview および Windows Server 2012 RC 版に含まれています。
失効した証明書の自動更新ツール (2677070) を持っていないエンド ユーザーや、インターネットに接続されていないシステムについては、マイクロソフトは直ちに更新プログラム KB2728973 を手動で適用することをお勧めします。この更新プログラムを手動で更新する方法については、サポート技術情報 2728973 を参照してください。
管理者およびエンタープライズ インストールについては、マイクロソフトは更新プログラム管理ソフトウェアを使用して、この更新プログラムを直ちに適用することをお勧めします。更新プログラムの詳細については、サポート技術情報 2728973 を参照してください。
追加の推奨されるアクション
コンピューターを守る
マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。これらのステップについては、Protect Your PC Web サイトを参照してください。
インターネットにおける安全性に関する詳細情報は、マイクロソフトのセキュリティ ホーム ページを参照してください。
マイクロソフトのソフトウェアを最新の状態に保つ
マイクロソフトのソフトウェアをお使いのお客様は、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、お使いのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、Microsoft Update で、利用可能な更新プログラムがあるかどうかに関してコンピューターをスキャンし、提供されている優先度の高い更新プログラムをインストールしてください。自動更新が有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。
関連情報
Microsoft Active Protections Program (MAPP)
お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。
フィードバック
- フィードバックをご提供いただく際は、マイクロソフト サポート オンラインのマイクロソフトへのご意見・ご要望のフォームへ入力をお願いします。
サポート
- セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。利用可能なサポート オプションの詳細については、マイクロソフト サポート オンラインを参照してください。
- その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフト プロダクト サポートへの連絡方法はこちらを参照してください。
- Microsoft TechNetセキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。
免責
この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。
更新履歴
- V1.0 (2012/07/11): アドバイザリを公開しました。
- V1.1 (2012/07/13): このアドバイザリを更新し、「よく寄せられる質問」の「更新プログラムを適用した後、マイクロソフトの信頼されていない証明書ストア内の証明書をどのように確認することができますか?」の質問に対する回答で、許可されない証明書のリストの発効日を修正し、2012 年 6 月 21 日 (またはそれ以降) としました。
- V1.2 (2012/09/13):このアドバイザリを更新し、Microsoft Services PCA により発行された「CN=Microsoft Online Svcs BPOS APAC CA4」証明書についての一般的な名前を修正しました。
Built at 2014-04-18T13:49:36Z-07:00