Security Advisory

マイクロソフト セキュリティ アドバイザリ 2743314

カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる

公開日: 2012年8月21日

バージョン: 1.0

概説

概要

マイクロソフトは、Microsoftチャレンジ ハンドシェイク認証プロトコル version 2 (MS-CHAP v2) の既知の脆さに対する、詳細な悪用コードが公開されていることを認識しています。MS-CHAP v2 プロトコルは Point-to-Point トンネリング プロトコル (PPTP) ベースの VPN 接続をする場合の認証メソッドとして広く使用されています。マイクロソフトは現在この悪用コードを使用する攻撃が行われていること、または現時点でのお客様への影響は認識していません。マイクロソフトはこの状況を積極的に監視し、お客様に情報を提供し続け、また必要であればお客様のためのガイダンスを提供します。

問題を緩和する要素:

  • PPTP 接続で MS-CHAP v2 認証を唯一の認証メソッドとして依存している VPN ソリューションのみが、この問題の影響を受けます。

推奨する対応策:. 詳細情報は、このセキュリティ アドバイザリの「推奨するアクション」の欄を参照してください。

アドバイザリの詳細

問題に関するリファレンス

この問題に関する詳細情報については、次のリファレンスを参照してください。

参照情報 番号
マイクロソフト サポート技術情報 2744850

よく寄せられる質問

このアドバイザリの目的は何ですか? 
このアドバイザリの目的は、MS-CHAP v2 プロトコルの既知の脆さに対する、詳細な悪用コードが公開されていることを顧客にお知らせすることです。マイクロソフトは現在この悪用コードを使用する攻撃が行われていること、または現時点でのお客様への影響は認識していません。マイクロソフトはこの状況を積極的に監視し、お客様に情報を提供し続け、また必要であればお客様のためのガイダンスを提供します。

この問題の原因は何ですか? 
この問題は MS-CHAP v2 プロトコルの暗号の脆さが原因で起こります。

この脆さにより、攻撃者は何を行う可能性がありますか? 
暗号の脆さが悪用された場合、攻撃者がユーザー資格情報を取得する可能性があります。それら資格情報は、攻撃者がネットワーク リソースに認証されるよう再使用される可能性があり、攻撃者はユーザーがネットワーク リソースで実行できるいかなるアクションも実行できる可能性があります。

攻撃者はこの脆さをどのように悪用する可能性がありますか? 
攻撃者がこの脆さを悪用するには、中間者攻撃を実行する、あるいはワイヤレスのトラフィックを妨害することで、攻撃される側の MS-CHAP v2 ハンドシェイクを妨害できなくてはなりません。MS-CHAP v2 認証トラフィックを取得した攻撃者は、ユーザー資格情報を解読するために悪用コードを利用する可能性があります。

これは、マイクロソフトがセキュリティ更新プログラムをリリースする必要のあるセキュリティ上の脆弱性ですか? 
いいえ、これは、マイクロソフトがセキュリティ更新プログラムをリリースする必要があるセキュリティ上の脆弱性ではありません。この問題は、既知の、MS-CHAP v2 プロトコルの暗号の脆さが原因で起こり、構成の変更を実装することで解決されます。MS-CHAPv2/PPTP ベースのトンネルを PEAP で保護する方法についての詳細は、サポート技術情報 2744850 をご覧ください。

MS-CHAP v2とは何ですか?
MS-CHAP v2 とは、チャレンジ ハンドシェイク認証プロトコルです。ユーザーがサービス認証をする際、リモート アクセス サーバーがチャレンジ文字列をクライアントに送り、証明を求めます。その後、クライアントがチャレンジ文字列をサーバーに送り、証明を求めます。サーバーがクライアントからのチャレンジに正しく応答することにより、ユーザーのパスワードを認識していることを証明できなかった場合、クライアントは接続を終了します。相互認証されないと、リモート アクセス クライアントはサーバーへの接続を認識することができません。

MS-CHAP v1 は影響を受けますか? 
MS-CHAP v1 は廃止されました。詳細情報は、サポート技術情報 926170 をご覧ください。

中間者攻撃とは何ですか? 
中間者攻撃は、通信中の双方のユーザーに気付くことなく、攻撃者のコンピューターで双方のユーザー間の通信が経路変更された際に発生する攻撃です。通信中の双方のユーザーは、意図した受信者とのみ通信中であると思い、気付かないまま攻撃者とトラフィックの送受信を行います。

推奨するアクション

PEAP で、MS-CHAP v2/PPTP ベースのトンネルを保護する

PEAP で、MS-CHAP v2/PPTP ベースのトンネルを確保する方法はサポート技術情報 2744850 をご参照ください。

あるいは、Microsoft VPN で PEAP-MS-CHAP v2 を実行する別の方法として、より安全な VPN トンネルを利用する

利用しているトンネル技術が順応性があり、まだパスワード ベースの認証メソッドが必須である場合、マイクロソフトは L2TP、IKEv2、あるいは SSTP VPN トンネルを MS-CHAP v2 あるいは EAP-MS-CHAP v2 と併せて認証に使用することを推奨します。

詳細については以下のリンクをご参照ください:

注: マイクロソフトは、顧客が環境の設定変更を行うことの影響を評価することを推奨しています。Microsoft VPN 向けに PEAP-MS-CHAP v2 認証を実装する場合、L2TP、IKEv2、あるいは SSTP VPN トンネルを MS-CHAP v2 あるいは EAP-MS-CHAP v2 と併せて認証に使用する、より安全な VPN トンネルを実行する場合よりも、設定変更の手間がかからず、 システムに与える影響が小さいです。

追加の推奨されるアクション

  • コンピューターを守る

    マイクロソフトは、お客様が引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。詳細については、Microsoft セーフティとセキュリティ センターを参照してください。

  • マイクロソフトのソフトウェアを最新の状態に保つ

    マイクロソフトのソフトウェアをお使いのお客様は、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、お使いのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、Microsoft Update で、利用可能な更新プログラムがあるかどうかに関してコンピューターをスキャンし、提供されている優先度の高い更新プログラムをインストールしてください。自動更新が有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。

関連情報

フィードバック

サポート

  • セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。利用可能なサポート オプションの詳細については、マイクロソフト サポート オンラインを参照してください。
  • その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフト プロダクト サポートへの連絡方法はこちらを参照してください。
  • Microsoft TechNetセキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2012/08/21):アドバイザリを公開しました。

Built at 2014-04-18T13:49:36Z-07:00