Security Advisory

マイクロソフト セキュリティ アドバイザリ 2868725

RC4 を無効化するための更新プログラム

公開日: 2013年11月13日

バージョン: 1.0

概説

概要

マイクロソフトは、サポートされているエディションの Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、および Windows RT 用として、RC4 の既知の脆さを解決する更新プログラムをリリースしたことをお知らせします。この更新プログラムは、レジストリ設定を介して、影響を受けるシステム上で使用可能な暗号としての RC4 の削除をサポートしています。また開発者は、SCHANNEL_CRED 構造体の中の SCH_USE_STRONG_CRYPTO フラグを使用することで、個々のアプリケーション内の RC4 を削除することもできます。これらのオプションは既定では有効でありません。

推奨する対応策: マイクロソフトは、直ちにこの更新プログラムのダウンロードとインストールを実行し、使用環境内で新しい設定のテストをすることをお勧めします。詳細情報は、このセキュリティ アドバイザリの「推奨するアクション」の欄を参照してください。

アドバイザリの詳細

問題に関する参照情報

この問題に関する詳細情報は、次の参照情報をご確認ください。

参照情報 ID
マイクロソフト サポート技術情報 2868725

影響を受けるソフトウェア

このアドバイザリは次のソフトウェアについて説明しています。

オペレーティング システム
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Windows 8 for 32-bit Systems
Windows 8 for x64-based Systems
Windows Server 2012
Windows RT
Server Core インストール オプション
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール)
Windows Server 2012 (Server Core インストール)

アドバイザリの「よく寄せられる質問」

この更新プログラムは、Windows 8.1、Windows Server 2012 R2、Windows RT 8.1 には適用されますか?  
いいえ。Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1 は、RC4 の使用を制限する機能をあらかじめ備えているため、この更新プログラムはそれらのオペレーティング システムには適用されません。

このアドバイザリの目的は何ですか?  
このアドバイザリの目的は、サポートされているエディションの Windows、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、および Windows RT 用として、RC4 の使用を制限する追加オプションを提供する更新プログラムをリリースしたことをお客様にお知らせすることです。攻撃者が TLS および SSL で RC4 を使用すると、中間者攻撃を実行し、暗号化されたセッションからプレーンテキストを復号化することができます。

中間者攻撃とは何ですか?  
中間者攻撃は、通信中の双方のユーザーが気付くことなく、攻撃者のコンピューターを経由するように双方のユーザー間の通信が経路変更された際に発生する攻撃です。通信中の双方のユーザーは、意図した受信者とのみ通信中であると思い、気付かないまま攻撃者とトラフィックの送受信を行います。

更新プログラム 2868725 はどのように問題を修正しますか?  
この更新プログラムは、レジストリ設定を介して、影響を受けるシステム上で使用可能な暗号としての RC4 の削除をサポートしています。また開発者は、SCHANNEL_CRED 構造体の中の SCH_USE_STRONG_CRYPTO フラグを使用することで、個々のアプリケーション内の RC4 を削除することもできます。これらのオプションは既定では有効でありません。環境内に新しい設定を実装する前に、その設定をテストして、RC4 が無効になるか確認することを推奨します。

この更新プログラムは、Internet Explorer や他のインボックス アプリケーションのユーザー エクスペリエンスに影響を与えますか? 
いいえ。この更新プログラムによって実装された変更はユーザーに対して透過的で、Internet Explorer や他のインボックス アプリケーションのユーザー エクスペリエンスに影響を与えません。ただし、RC4 を無効化する設定をこれ以降変更すると、Internet Explorer や TLS を利用する他のアプリケーションのユーザー エクスペリエンスに影響を与える可能性があります。このため、RC4 の無効化に関連する新しい設定を徹底的にテストすることを強くお勧めします。

このリリースに対する準備は必要ですか?  
この更新プログラムに対する準備として実行するアクションのリストについては、このアドバイザリの「推奨するアクション」のセクションを参照してください。

Schannel とは何ですか?  
Schannel とも呼ばれる Secure Channel は、暗号化を介して ID 認証と安全な秘密通信を提供する一連のセキュリティ プロトコルが含まれるセキュリティ サポート プロバイダー (SSP) です。Schannel は主として、安全な Hypertext Transfer Protocol (HTTP) 通信を必要とするインターネットアプリケーションに使われます。詳細については、Secure Channel (英語情報) を参照してください。

TLS とは何ですか?  
Transport Layer Security (TLS) は、インターネットまたはイントラネットで安全な Web 通信を提供するために使われる標準プロトコルです。TLS を使用すると、クライアントはサーバーを認証することができます。また、オプションでサーバーがクライアントを認証することもできます。TLS は通信を暗号化することで、安全なチャネルも提供します。TLS は Secure Sockets Layer (SSL) プロトコルの最新バージョンです。

RC4 とは何ですか?  
RC4 は、暗号化と復号化の両方で使われるストリーム暗号です。

推奨するアクション

影響を受けるリリースの Microsoft Windows への更新プログラムの適用

自動更新を有効にしている大多数のお客様は、更新プログラム 2868725 が自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。自動更新を有効にしていない場合、この更新プログラムを手動で確認し、インストールする必要があります。自動更新の具体的な構成オプションの詳細については、サポート技術情報 294871 を参照してください。

マイクロソフトは、管理者およびエンタープライズ インストール、または更新プログラム 2868725 の手動インストールを希望するエンド ユーザーに対し、更新プログラム管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムを確認することによって、この更新プログラムを直ちに適用することをお勧めします。この更新プログラムを手動で適用する方法の詳細については、サポート技術情報 2868725 を参照してください。

環境内に新しい設定を導入する 前の、 新しい設定に対する徹底的なテスト

更新プログラムを適用した後、環境内に新しい設定を実装する前に、その設定をテストして、RC4 が無効になるか確認することを推奨します。新しい設定のテストに失敗すると、Internet Explorer や TLS を利用する他のアプリケーションのユーザー エクスペリエンスに影響を与える可能性があります。

関連情報

フィードバック

サポート

  • セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • Microsoft TechNet セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2013/11/13):アドバイザリを公開しました。

Built at 2014-04-18T13:49:36Z-07:00