Microsoft セキュリティ アドバイザリ 3050995
不正に発行されたデジタル証明書によってスプーフィングが可能になる
公開日: 2015 年 3 月 24 日 |更新日: 2015 年 3 月 26 日
バージョン: 2.0
概要
Microsoft は、下位 CA MCS Holdings から不適切に発行されたデジタル証明書を認識しています。この証明書は、コンテンツのなりすまし、フィッシング攻撃の実行、中間者攻撃の実行に使用される可能性があります。 不適切に発行された証明書を使用して、他の証明書の発行、他の doメイン の偽装、またはコードへの署名を行うことはできません。 この問題は、Microsoft Windows でサポートされているすべてのリリースに影響します。
これらの不適切に発行された証明書が不正に使用される可能性から顧客を保護するために、Microsoft は証明書信頼リスト (CTL) を更新して、下位 CA 証明書の信頼を削除しています。 信頼されたルート証明機関である China Internet Network Information Center (CNNIC) も、下位 CA の証明書を取り消しました。 これらの証明書の詳細については、このアドバイザリの 「よく寄せられる質問」セクションを 参照してください。
推奨。 Microsoft Windows の特定のリリースに更新プログラムを適用する手順については、このアドバイザリの「推奨されるアクション」セクションを参照してください。
アドバイザリの詳細
この問題の詳細については、次のリファレンスを参照してください。
参考文献 | [識別] |
---|---|
Microsoft サポート技術情報の記事 | 3050995 |
影響を受けるソフトウェア
このアドバイザリでは、次のソフトウェアについて説明します。
オペレーティング システム |
---|
Windows Server 2003 Service Pack 2 |
Windows Server 2003 x64 Edition Service Pack 2 |
Itanium ベースのシステム用 Windows Server 2003 SP2 |
Windows Vista Service Pack 2 |
Windows Vista x64 Edition Service Pack 2 |
Windows Server 2008 for 32 ビット システム Service Pack 2 |
x64 ベースシステム Service Pack 2 用 Windows Server 2008 |
Windows Server 2008 for Itanium ベースのシステム Service Pack 2 |
Windows 7 for 32 ビット システム Service Pack 1 |
Windows 7 for x64 ベースのシステム Service Pack 1 |
x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 |
Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1 |
Windows 8 for 32 ビット システム |
Windows 8 for x64 ベースのシステム |
Windows Server 2012 |
Windows RT |
32 ビット システム用 Windows 8.1 |
x64 ベースシステム用 Windows 8.1 |
Windows Server 2012 R2 |
Windows RT 8.1 |
Server Core のインストール オプション |
Windows Server 2008 for 32 ビット システム Service Pack 2 (Server Core インストール) |
x64 ベースシステム Service Pack 2 用 Windows Server 2008 (Server Core インストール) |
x64 ベース システム用 Windows Server 2008 R2 (Server Core インストール) |
Windows Server 2012 (Server Core のインストール) |
Windows Server 2012 R2 (Server Core のインストール) |
影響を受けるデバイス |
Windows Phone 8 |
Windows Phone 8.1 |
アドバイザリに関する FAQ
アドバイザリの範囲は何ですか?
このアドバイザリの目的は、MCSホールディングスがGoogleのWebプロパティを含む複数のサイトに対してSSL証明書を不適切に発行したことをお客様に通知することです。 これらの SSL 証明書は、コンテンツのスプーフィング、フィッシング攻撃の実行、Web プロパティに対する中間者攻撃の実行に使用できます。 下位 CA は、他の現在不明なサイトの証明書を発行するためにも使用されている可能性があり、同様の攻撃を受ける可能性があります。
問題の原因は何ですか?
この問題は、下位 CA である MCS Holdings が所有者以外のエンティティに対して doメイン 証明書を不適切に発行した場合に発生しました。 MCS Holdings 機関は、信頼されたルート証明機関ストアに存在する CA である China Internet Network Information Center (CNNIC) に従属しています。
この更新プログラムは、他のデジタル証明書に対処しますか?
はい。このアドバイザリで説明した証明書に対処するだけでなく、この更新プログラムは累積的であり、前のアドバイザリで説明したデジタル証明書が含まれています。
- Microsoft セキュリティ アドバイザリ 3046310
- Microsoft セキュリティ アドバイザリ 2982792
- Microsoft セキュリティ アドバイザリ 2916652
- Microsoft セキュリティ アドバイザリ 2798897
- Microsoft セキュリティ アドバイザリ 2728973
- Microsoft セキュリティ アドバイザリ 2718704
- Microsoft セキュリティ アドバイザリ 2641690
- Microsoft セキュリティ アドバイザリ 2607712
- Microsoft セキュリティ アドバイザリ 2524375
暗号化とは
暗号化は、通常の読み取り可能な状態 (プレーンテキストと呼ばれます) とデータが隠されている状態 (暗号テキストと呼ばれます) の間で変換することによって、情報をセキュリティで保護する科学です。
あらゆる形式の暗号化では、キーと呼ばれる値が暗号化アルゴリズムと呼ばれるプロシージャと組み合わせて使用され、プレーンテキスト データを暗号テキストに変換します。 最も使い慣れた種類の暗号化である秘密鍵暗号化では、暗号テキストは同じキーを使用してプレーンテキストに変換されます。 ただし、2 番目の種類の暗号化である公開キー暗号化では、暗号化テキストをプレーンテキストに変換するために別のキーが使用されます。
デジタル証明書とは
公開キー暗号化では、秘密キーと呼ばれるいずれかのキーを秘密にしておく必要があります。 公開キーと呼ばれるもう 1 つのキーは、世界と共有することを目的としています。 ただし、キーの所有者がキーが属するユーザーを世界に伝える方法が必要です。 デジタル証明書は、これを行う方法を提供します。 デジタル証明書は、公開キーとその情報 (誰が所有するか、何に使用できるか、有効期限が切れたときなど) と共にパッケージ化する改ざん防止データです。
証明書の用途
証明書は主に、個人またはデバイスの ID の確認、サービスの認証、またはファイルの暗号化に使用されます。 通常、証明書についてまったく考慮する必要はありません。 ただし、証明書の有効期限が切れているか無効であることを示すメッセージが表示されることがあります。 このような場合は、メッセージの指示に従う必要があります。
証明機関 (CA) とは
証明機関は、証明書を発行する組織です。 ユーザーまたは他の証明機関に属する公開キーの信頼性を確立して検証し、証明書を要求する個人または組織の ID を確認します。
証明書信頼リスト (CTL) とは
署名されたメッセージの受信者とメッセージの署名者の間に信頼が存在する必要があります。 この信頼を確立する方法の 1 つは、証明書を通じて、エンティティまたは個人が誰であるかを検証する電子ドキュメントです。 証明書は、両方の当事者によって信頼されているサード パーティによってエンティティに発行されます。 そのため、署名済みメッセージの各受信者は、署名者の証明書の発行者が信頼できるかどうかを決定します。 CryptoAPI には、アプリケーション開発者が、信頼できる証明書またはルートの定義済みの一覧に対して証明書を自動的に検証するアプリケーションを作成できるようにする手法が実装されています。 この信頼されたエンティティの一覧 (サブジェクトと呼ばれます) は、証明書信頼リスト (CTL) と呼ばれます。 詳細については、MSDN の記事 「証明書の信頼の検証」を参照してください。
攻撃者はこれらの証明書に対して何を行う可能性がありますか?
攻撃者は、これらの証明書を使用して、コンテンツのなりすまし、フィッシング攻撃の実行、または次の Web プロパティに対する中間者攻撃を実行する可能性があります。
- *.google.com
- *.google.com.eg
- *.g.doubleclick.net
- *.gstatic.com
- www.google.com
- www.gmail.com
- *.googleapis.com
中間者攻撃とは
中間者攻撃は、攻撃者が 2 人のユーザーの情報を知らずに、攻撃者のコンピューターを介して 2 人のユーザー間の通信を再ルーティングするときに発生します。 通信の各ユーザーは、意図したユーザーとだけ通信していると考えながら、知らず知らずのうちに攻撃者との間でトラフィックを送受信します。
この問題の解決に役立つ Microsoft の取り組み
この問題は Microsoft 製品の問題によるものではありませんが、CTL を更新し、お客様を保護するための更新プログラムを提供しています。 Microsoft は引き続きこの問題を調査し、CTL に今後変更を加えたり、お客様を保護するために将来の更新プログラムをリリースしたりする可能性があります。
更新プログラムを適用した後、Microsoft 信頼されていない証明書ストアの証明書を確認するにはどうすればよいですか?
Windows Vista、Windows 7、Windows Server 2008、 失効した証明書の自動アップデーターを使用している Windows Server 2008 R2 システム (詳細については、Microsoft サポート技術情報の記事の2677070を参照)、Windows 8、Windows 8.1、Windows RT 8.1、Windows Server 2012、および Windows Server 2012 R2 システムでは、次の値を持つエントリについて、イベント ビューアーのアプリケーション ログをチェックできます。
- ソース: CAPI2
- レベル: Information
- イベント ID: 4112
- 説明: 2015 年 3 月 23 日月曜日 (またはそれ以降) に、許可されていない証明書リストの自動更新に成功しました。
失効した証明書の自動アップデーターを使用していないシステムの場合は、証明書 MMC スナップインで、次の証明書が信頼されていない証明書フォルダーに追加されていることを確認します。
[証明書] | 発行者 | 拇印 |
---|---|---|
MCSHOLDING テスト | CNNIC ROOT | e1 f3 59 1e 76 98 65 c4 e4 47 ac c3 7e af c9 e2 bf e4 c5 76 |
注 : MMC スナップインで証明書を表示する方法については、MSDN の記事 「方法: MMC スナップインで証明書を表示する」を参照してください。
推奨されるアクション
Microsoft Windows のサポートされているリリースの更新プログラムを適用する
失効した証明書の自動アップデーターは、サポートされているエディションの Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows RT 8.1、Windows Server 2012 R2、および Windows 電話 8 および Windows 電話 8.1 を実行しているデバイスに含まれています。 これらのオペレーティング システムまたはデバイスでは、CTL が自動的に更新されるため、ユーザーは何もアクションを実行する必要はありません。
失効した証明書の自動アップデーターを使用している Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 を実行しているシステムの場合 (詳細については、Microsoft サポート技術情報の記事2677070を参照)、これらのシステムは自動的に保護されるため、何も行う必要はありません。
Windows Server 2003 を実行しているお客様は、更新プログラム管理ソフトウェアを使用して3050995更新プログラムを直ちに適用するか、Microsoft Update サービスを使用して更新プログラムをチェックするか、更新プログラムを手動でダウンロードして適用することをお勧めします (詳細については、Microsoft サポート技術情報の記事3050995を参照してください)。
その他の推奨されるアクション
PC を保護する
ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 詳細については、「Microsoft セーフty & Security Center」を参照してください。
Microsoft ソフトウェアを最新の状態に保つ
Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新を有効にして、Microsoft 製品の更新プログラムを提供するように構成している場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。
その他の情報
フィードバック
- Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。
サポート
- 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
- Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。
免責情報
このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
- V1.0 (2015 年 3 月 24 日): アドバイザリが公開されました。
- V2.0 (2015 年 3 月 26 日): サポートされているエディションの Windows Server 2003 の更新プログラムが利用可能になったことを発表するために、アドバイザリが再リリースされました。 詳細とダウンロード リンクについては、 マイクロソフト サポート技術情報の記事3050995 を参照してください。
Page generated 2015-03-26 10:03Z-07:00.