マイクロソフト セキュリティ アドバイザリ 3033929

Windows 7 および Windows Server 2008 R2 で SHA-2 コード署名サポートを利用可能

公開日: 2015 年 3 月 11 日

バージョン: 1.0

概説

概要

マイクロソフトは、サポートされているすべてのエディションの Windows 7 および Windows Server 2008 R2 で SHA-2 署名および検証機能のサポートを追加する更新プログラムの再発行についてお知らせします。この更新プログラムは、2014 年 10 月 17 日に無効になった更新プログラム 2949927 を置き換え、一部のお客様でインストール後に発生していた問題を解決します。元のリリースと同様に、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1 には SHA-2 署名および検証機能が既に含まれているため、これらのオペレーティング システムはこの更新プログラムを必要としません。この更新プログラムは、Windows Server 2003、Windows Vista、または Windows Server 2008 では利用できません。

**推奨事項。**Microsoft Update から更新プログラムをオンラインでチェックするために自動更新を有効にし、構成しているお客様は、通常このセキュリティ更新プログラムは自動でダウンロードおよびインストールされるため、特に操作をする必要はありません。自動更新を有効にしていない場合、この更新プログラムを手動で確認し、インストールする必要があります。自動更新の具体的な構成オプションの詳細については、サポート技術情報 294871 を参照してください。

手動でインストールしたお客様 (自動更新を有効にしていないお客様を含む) の場合、マイクロソフトは、お客様が更新プログラム管理ソフトウェアを使用して、または Microsoft Update サービスで更新プログラムをチェックして、この更新プログラムを可能な限り早期に適用することを推奨します。これらの更新プログラムは、このセキュリティ情報の「影響を受けるソフトウェア」の表のダウンロード リンクからも入手できます。

アドバイザリの詳細

問題に関する参照情報

この問題に関する詳細情報は、次の参照情報をご確認ください。

参照情報 ID
マイクロソフト サポート技術情報 3033929  (2949927 を置き換えるものです) 
影響を受けるソフトウェア ------------------------ このアドバイザリは次のソフトウェアについて説明しています。

オペレーティング システム 置き換えられる更新プログラム
Windows 7 for 32-bit Systems Service Pack 1
(3033929)(1)
MS15-025 の 3035131
Windows 7 for x64-based Systems Service Pack 1
(3033929)(1)
MS15-025 の 3035131
Windows Server 2008 R2 for x64-based Systems Service Pack 1
(3033929)(1)
MS15-025 の 3035131
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
(3033929)(1)
MS15-025 の 3035131
Server Core インストール オプション MS15-025 の 3035131
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール)
(3033929)(1)
MS15-025 の 3035131
[1]更新プログラム 3033929 には、[MS15-025](https://go.microsoft.com/fwlink/?linkid=526462) によって同時にリリースされた更新プログラム 3035131 と共通の影響を受けるバイナリが含まれています。更新プログラムを手動でダウンロードしてインストールするお客様および両方の更新プログラムをインストールする予定のお客様は、更新プログラム 3033929 をインストールする前に 3035131 をインストールする必要があります。詳細については、このアドバイザリの「よく寄せられる質問」を参照してください。 アドバイザリの「よく寄せられる質問」 ------------------------------------ **このアドバイザリの目的は何ですか?** このアドバイザリの目的は、すべてのサポートされているエディションの Windows 7 および Windows Server 2008 R2 で SHA-2 ハッシュ アルゴリズムの機能を追加する更新プログラムが利用可能になったことをお知らせすることです。 **これは、マイクロソフトがセキュリティ更新プログラムをリリースする必要のあるセキュリティ上の脆弱性ですか?** いいえ。ここ最近は SHA-1 の代わりとなる署名メカニズムが使われており、署名用のハッシュ アルゴリズムとして SHA-1 を使用することは推奨されていません。現在、SHA-1 の使用は最善策ではありません。マイクロソフトは、代わりに SHA-2 ハッシュ アルゴリズムを使用することを推奨しており、デジタル証明書のキーをよりセキュリティが強化された SHA-2 ハッシュ アルゴリズムに更新できるようにこの更新プログラムを公開しています。 **SHA-1 ハッシュ アルゴリズムの問題の原因は何ですか?** 本件の根本原因は、SHA-1 ハッシュ アルゴリズムの良く知られた弱点は衝突攻撃 (collision attack) に曝されやすいことです。これらの攻撃は、オリジナルのデジタル署名と同一の署名を持つ別の証明書を生成する事を可能にします。これらの問題点があるため、この攻撃を防ぐ必要がある用途での SHA-1 証明書の使用は推奨されていません。マイクロソフトでは、セキュリティ開発ライフサイクル (SDL) に従い、SHA-1 ハッシュ アルゴリズムをマイクロソフト製品で既定の機能として使用しないことを規定しています。詳細については、[マイクロソフト セキュリティ アドバイザリ 2880823](https://technet.microsoft.com/ja-jp/library/security/2880823) および Windows PKI ブログ エントリ、[SHA1 Deprecation Policy (SHA1 の廃止ポリシー)](https://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx) (英語情報) を参照してください。 **この更新プログラムはどのように問題を修正しますか?** この更新プログラムは、影響を受けるオペレーティング システムに以下の SHA-2 ハッシュ アルゴリズム署名および検証のサポートを追加します。 - [キャビネット ファイル](https://msdn.microsoft.com/ja-jp/library/aa367841(v=vs.85).aspx)での複数署名のサポート - [Windows PE ファイル](https://msdn.microsoft.com/ja-jp/library/ms940812(v=winembedded.5).aspx)での複数署名のサポート - 複数のデジタル署名の表示を可能にする UI の変更 - カーネルの署名を検証するコードの整合性コンポーネントへの RFC3161 タイムスタンプを検証する機能 - さまざまな API ([CertIsStrongHashToSign](https://msdn.microsoft.com/ja-jp/library/windows/desktop/hh870260(v=vs.85).aspx)、[CryptCATAdminAcquireContext2](https://msdn.microsoft.com/ja-jp/library/windows/desktop/aa379889(v=vs.85).aspx)、および [CryptCATAdminCalcHashFromFileHandle2](https://msdn.microsoft.com/ja-jp/library/windows/desktop/hh968151(v=vs.85).aspx) など) のサポート **セキュア ハッシュ アルゴリズム (SHA-1) とは何ですか?** セキュア ハッシュ アルゴリズム (SHA) は、デジタル署名アルゴリズム (DSA) やデジタル署名標準 (DSS) で使用するために開発されており、160 ビット ハッシュ値を生成します。SHA-1 は衝突攻撃にさらされる弱点を持っています。これらの攻撃は、オリジナルのデジタル署名と同一の署名を持つ別の証明書を生成する事を可能にします。SHA-1 の詳細については、[Hash and Signature Algorithms (ハッシュおよび署名アルゴリズム)](https://msdn.microsoft.com/ja-jp/library/windows/desktop/aa382459(v=vs.85).aspx) (英語情報) を参照してください。 **RFC3161 とは何ですか??** RFC3161 は、Time Stamping Authority (TSA) に対する要求と応答の形式を規定している Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) を定義します。TSA を使用することにより、デジタル署名が公開キー証明書証明書の期間中に生成されたことを証明できます。[X.509 Public Key Infrastructure](https://www.ietf.org/rfc/rfc3161.txt) を参照してください。 **デジタル証明書について** 公開キー暗号化では、キーの 1 つ (秘密キーと呼ばれています) は秘密にされている必要があります。公開キーと呼ばれているもう 1 つのキーは世界で共有されることを意図しています。しかし、キーの所有者がキーがだれに属しているかを公に知らせる方法が必要になります。デジタル証明書はこれを実行する方法を提供します。デジタル証明書は、個人、組織、およびコンピューターのオンライン アイデンティティを証明するために使用される電子資格情報です。デジタル証明書は、公開キーと、公開キーについての情報 (所有者情報、使用用途、有効期限、その他の関連情報) を含みます。詳細については、「[公開キー暗号について](https://technet.microsoft.com/ja-jp/library/aa998077)」と「[Digital Certificates (デジタル証明書)](https://technet.microsoft.com/ja-jp/library/cc962029.aspx)」 (英語情報) を参照してください。 **デジタル証明書の目的は何ですか?** デジタル証明書は主に人物またはデバイスの身元の確認、サービスの認証、またはファイルの暗号化に使用されます。通常は、証明書の有効期限が切れた、または証明書が無効ということを通知するメッセージが表示された場合以外で、証明書を考慮する必要はありません。このような場合、メッセージの説明に従ってください。 **この更新プログラム 3033929 と MS15-025 で説明されている更新プログラム 3035131 にはどのような関係がありますか?** この更新プログラム 3033929 には、[MS15-025](https://go.microsoft.com/fwlink/?linkid=526462) によって同時にリリースされた更新プログラム 3035131 と共通の影響を受けるバイナリが含まれています。この重複のために 1 つの更新プログラムが他の更新プログラムより優先される必要があり、この場合、アドバイザリ更新プログラム 3033929 が更新プログラム 3035131 よりも優先されます。自動更新を有効にしているお客様の場合は、通常のインストール操作が発生し、両方の更新プログラムが自動的にインストールされ、インストールされている更新プログラムの一覧に両方の更新プログラムが表示されます。しかし、更新プログラムを手動でダウンロードしてインストールするお客様の場合は、更新プログラムをインストールする順序によって次のように発生する動作が決まります。 シナリオ 1 (優先): お客様が最初に更新プログラム 3035131 をインストールし、その後にアドバイザリ更新プログラム 3033929 をインストールします。 結果: 両方の更新プログラムが正常にインストールされ、両方の更新プログラムがインストールされている更新プログラムの一覧に表示されます。   シナリオ 2: お客様が最初にアドバイザリ更新プログラム 3033929 をインストールし、その後に更新プログラム 3035131 をインストールしようとします。 結果: インストーラーによって更新プログラム 3035131 がシステムに既にインストールされていることを知らせるメッセージが表示され、更新プログラム 3035131 はインストールされている更新プログラムの一覧に追加されません。 推奨するアクション ------------------ - **サポートされているリリースの Microsoft Windows 用の更新プログラムを適用する** 自動更新を有効にしている大多数のお客様は、この更新プログラムが自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。自動更新を有効にしていない場合、この更新プログラムを手動で確認し、インストールする必要があります。自動更新の具体的な構成オプションの詳細については、[サポート技術情報 294871](https://support.microsoft.com/kb/294871/ja) を参照してください。 管理者およびエンタープライズのインストール、またはこのセキュリティ更新プログラムを手動でインストールしたいエンド ユーザー (自動更新を有効にしていないお客様を含む) の場合は、更新プログラム管理ソフトウェアを使用して、または [Microsoft Update](https://go.microsoft.com/fwlink/?linkid=40747) サービスで更新プログラムをチェックして、この更新プログラムをできる限り早期に適用することを推奨します。これらの更新プログラムは、このセキュリティ情報の「影響を受けるソフトウェア」の表のダウンロード リンクからも入手できます。 ### 追加の推奨されるアクション - **コンピューターを守る** マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。詳細については、[Microsoft セーフティとセキュリティ センター](https://www.microsoft.com/ja-jp/security/default.aspx)を参照してください。 - **マイクロソフトのソフトウェアを最新の状態に保つ** マイクロソフトのソフトウェアをお使いのお客様は、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、お使いのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、[Microsoft Update](https://go.microsoft.com/fwlink/?linkid=40747) で、利用可能な更新プログラムがあるかどうかに関してコンピューターをスキャンし、提供されている優先度の高い更新プログラムをインストールしてください。自動更新が有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。 関連情報 -------- ### Microsoft Active Protections Program (MAPP) お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、[Microsoft Active Protections Program (MAPP) パートナー](https://go.microsoft.com/fwlink/?linkid=215201)に記載されている各社の Web サイトを参照してください。 ### フィードバック - フィードバックをご提供いただく際は、マイクロソフト サポート オンラインの[マイクロソフトへのご意見・ご要望](https://support.microsoft.com/kb/?scid=sw;en;1257&showpage=1&ws=technet&sd=tech)のフォームへ入力をお願いします。 ### サポート - セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、[マイクロソフト セキュリティ情報センター](https://consumersecuritysupport.microsoft.com/default.aspx?mkt=ja-jp)までご連絡ください。詳細については、[Microsoft サポート](https://support.microsoft.com/?ln=ja)を参照してください。 - その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。詳細については、[Microsoft サポート](https://go.microsoft.com/fwlink/?linkid=21155)を参照してください。 - [Microsoft TechNet](https://technet.microsoft.com/ja-jp/security/default.aspx) セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。 ### 免責 この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation およびその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性など、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社およびこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。 ### 更新履歴 - V1.0 (2015/03/11): アドバイザリを公開しました。 *Page generated 2015-03-04 14:52Z-08:00.*