Security Advisory

マイクロソフト セキュリティ アドバイザリ 2854544

Windows の暗号化とデジタル証明書の処理を改善するための更新プログラム

公開日: 2013年6月12日 | 最終更新日: 2013年11月13日

バージョン: 1.3

概説

概要

マイクロソフトは、Windows での暗号化とデジタル証明書の処理を改善する継続的な取り組みの一環として、更新プログラムをリリースしたことをお知らせします。マイクロソフトはこのアドバイザリを通じて追加の更新プログラムを継続的に発表します。これらはすべて進化する脅威の環境に対応して、Windows の暗号化と証明書の処理インフラストラクチャを改善することを目的としています。

利用可能な更新プログラムとリリース ノート

2013 年 11 月 13 日にリリースされた更新プログラム:

  • マイクロソフトは、サポートされているすべてのエディションの Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、および Windows RT 用として、RC4 の既知の脆さを解決する更新プログラム (2868725) をリリースしました。この更新プログラムは、影響を受けるすべてのソフトウェア用に自動更新および Microsoft Update サービスを通じて提供されます。この更新プログラムは、Windows RT を除く、影響を受けるすべてのソフトウェア用にダウンロード センターおよび Microsoft Update カタログでも入手できます。この更新プログラムは、レジストリ設定を介して、影響を受けるシステム上で使用可能な暗号としての RC4 の削除をサポートしています。また開発者は、SCHANNEL_CRED 構造体の中の SCH_USE_STRONG_CRYPTO フラグを使用することで、個々のアプリケーション内の RC4 を削除することもできます。これらのオプションは既定では有効でありません。更新プログラムを適用した後、環境内に新しい設定を実装する前に、その設定をテストして、RC4 が無効になるか確認することを推奨します。詳細については、マイクロソフト セキュリティ アドバイザリ 2868725 を参照してください。
  • マイクロソフトは、X.509 デジタル証明書の SHA-1 ハッシュ アルゴリズムの廃止について、マイクロソフト ルート証明書プログラムのポリシーを変更したことを発表しました。新しいポリシーでは、2016 年 1 月 1 日以降、ルート証明機関は SSL とコード サイニングの目的で、SHA-1 ハッシュ アルゴリズムを使って X.509 証明書を発行できなくなります。マイクロソフトはお客様に、できるだけ早い機会に SHA-1 証明書を SHA-2 証明書に置き換えることを推奨します。詳細については、マイクロソフト セキュリティ アドバイザリ 2880823 を参照してください。

2013 年 8 月 14 日にリリースされた更新プログラム:

  • マイクロソフトは、サポートされているすべてのエディションの Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、および Windows RT 用の更新プログラム (2862966) をリリースしました。この更新プログラムは、影響を受けるすべてのソフトウェア用に自動更新および Microsoft Update サービスを通じて提供されます。この更新プログラムは、Windows RT を除く、影響を受けるすべてのソフトウェア用にダウンロード センターおよび Microsoft Update カタログでも入手できます。この更新プログラムは、Microsoft Windows で特定の暗号化およびハッシュ アルゴリズムを使用する証明書の管理を改善するためのフレームワークを提供します。この更新プログラムはそれ自体で証明書の使用を制限するものではありませんが、証明書の使用を制限する今後の更新プログラムで必要となる可能性があります。詳細およびこの更新プログラムをインストールした場合に発生する可能性のある既知の問題については、サポート技術情報 2862966 を参照してください。
  • マイクロソフトは、サポートされているすべてのエディションの Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、および Windows RT 用の更新プログラム (2862973) をリリースしました。この更新プログラムは現時点で、Windows RT を除く、影響を受けるすべてのソフトウェア用にダウンロード センターおよび Microsoft Update カタログからのみ入手できます。この更新プログラムは、MD5 ハッシュ付きの証明書の使用を制限します。詳細については、マイクロソフト セキュリティ アドバイザリ 2862973 を参照してください。更新プログラム 2862966 は、この更新プログラムの必要条件です。

2013 年 6 月 12 日にリリースされた更新プログラム:

  • マイクロソフトは、サポートされているすべてのエディションの Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、および Windows RT 用の更新プログラム (2813430) をリリースしました。この更新プログラムは、Windows RT を除く影響を受けるすべてのソフトウェア用にダウンロードセンターおよび Microsoft Update カタログで入手できます。この更新プログラムは自動更新および Microsoft Update サービスを通じても提供されます。Windows RT 用のこの更新プログラムは、Windows Update を通じて入手可能です。この更新プログラムにより、管理者は Windows Update サイトにアクセスしなくても、信頼できる CTL および許可されていない CTL を更新することができます。詳細については、サポート技術情報 2813430 を参照してください。

よく寄せられる質問

証明書信頼リスト (CTL) とは何ですか? 
信頼は署名されたメッセージの受信者とメッセージの署名者の間で存在しければなりません。この信頼を確立するための 1 つの方法は、その機関や人物が本物かどうかを確認するための電子ドキュメントである、証明書を通して行うことです。各証明書は、両者によって信頼された第三者機関によって各機関に発行されます。そして、署名されたメッセージの各受信者は、署名者の証明書の発行元が信頼できるかどうかを決定します。CryptoAPI は、アプリケーション開発者が信頼された証明書やルートの所定のリストに対して自動的に証明書を認証するアプリケーションを作成する手法を実装しました。この信頼された機関 (いわゆる subject) のリストは、証明書信頼リスト (CTL) と呼ばれています。詳細情報は、MSDN ライブラリ Certificate Trust Verification (英語情報) を参照してください。

デジタル証明書とは何ですか? 
公開キー暗号化では、キーの 1 つ (秘密キーと呼ばれています) は秘密にされている必要があります。公開キーと呼ばれているもう 1 つのキーは世界で共有されることが意図されています。しかし、キーの所有者がキーが誰に属しているかを公に知らせる方法が必要になります。デジタル証明書はこれを実行する方法を提供します。デジタル証明書は、個人、組織、およびコンピューターのオンライン アイデンティティを証明するために使用される電子資格情報です。デジタル証明書は、公開キーと、公開キーについての情報 (所有者情報、使用用途、有効期限、そのほかの関連情報) を含みます。

デジタル証明書の 目的は何ですか? 
デジタル証明書は主に人物またはデバイスの身元の確認、サービスの認証、またはファイルの暗号化に使用されます。通常、証明書について何も考える必要はありません。しかし、証明書の有効期限が切れている、または無効であることを示すメッセージが表示されることがあります。このような場合、メッセージの説明に従ってください。

証明機関 (CA) とは何ですか? 
証明機関とは、証明書を発行する組織のことです。証明機関は、人物またはその他の証明機関に属す公開キーの信頼性を確立し、検証します。また、証明書を要求する人物または組織の身元を確認します。

関連情報

フィードバック

サポート

  • セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。利用可能なサポート オプションの詳細については、マイクロソフト サポート オンラインを参照してください。
  • その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフト プロダクト サポートへの連絡方法はこちらを参照してください。
  • Microsoft TechNet セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2013/06/12):アドバイザリを公開しました。
  • V1.1 (2013/08/14):「利用可能な更新プログラムとリリース ノート」セクションに更新プログラム2862966と 2862973 を追加しました。
  • V1.2 (2013/08/28):このアドバイザリを更新し、更新プログラム 2862973 が Microsoft Update カタログから入手可能になったことをお知らせしました。
  • V1.3 (2013/11/13):「利用可能な更新プログラムとリリース ノート」セクションに、更新プログラム 2868725 と、ルート証明書ポリシーのお知らせを追加しました。

Built at 2014-04-18T13:49:36Z-07:00