マイクロソフト セキュリティ情報 MS15-122 - 重要

セキュリティ機能のバイパスに対処する Kerberos 用のセキュリティ更新プログラム (3105256)

公開日:2015 年 11 月 11 日 | 最終更新日: 2016 年 4 月 8 日

バージョン: 1.2

概要

このセキュリティ更新プログラムは、Microsoft Windows のセキュリティ機能のバイパスを解決します。攻撃者は、標的のコンピューター上で Kerberos 認証をバイパスし、BitLocker により保護されているドライブを解読する可能性があります。バイパスが悪用される可能性があるのは、標的のシステムで PIN または USB キーを使用せずに BitLocker が有効であり、コンピューターがドメインに参加している場合に限られます。

このセキュリティ更新プログラムは、すべてのサポートされているエディションの Windows について、深刻度が「重要」と評価されています。詳細については、「影響を受けるソフトウェア」のセクションを参照してください。

この更新プログラムは、パスワード変更の前に実行される認証チェックを追加することで、バイパスを解決します。脆弱性の詳細については、「脆弱性の情報」を参照してください。

この更新プログラムの詳細については、マイクロソフト サポート技術情報 3105256 を参照してください。

影響を受けるソフトウェアと脅威の深刻度

次のソフトウェア バージョンまたはエディションが影響を受けます。一覧にないバージョンまたはエディションは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフ サイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。

次の深刻度の評価は、脆弱性の影響が最も深刻な場合を想定しています。深刻度の評価およびセキュリティ上の影響に関連して、このセキュリティ情報の公開から 30 日間でこの脆弱性が悪用される可能性に関する情報については、11 月のセキュリティ情報の概要の Exploitability Index (悪用可能性指標) を参照してください。

影響を受けるソフトウェアごとの脆弱性の深刻度および最大のセキュリティ上の影響
影響を受けるソフトウェア Windows Kerberos のセキュリティ機能のバイパス - CVE-2015-6095 置き換えられる更新プログラム*
Windows Vista
Windows Vista Service Pack 2
(3101246)
重要
セキュリティ機能のバイパス
なし
Windows Vista x64 Edition Service Pack 2
(3101246)
重要
セキュリティ機能のバイパス
なし
Windows Server 2008
Windows Server 2008 for 32-bit Systems Service Pack 2
(3101246)
重要
セキュリティ機能のバイパス
なし
Windows Server 2008 for x64-based Systems Service Pack 2
(3101246)
重要
セキュリティ機能のバイパス
なし
Windows Server 2008 for Itanium-based Systems Service Pack 2
(3101246)
重要
セキュリティ機能のバイパス
MS14-068 の 3011780
Windows 7
Windows 7 for 32-bit Systems Service Pack 1[1] (3101246) 重要
セキュリティ機能のバイパス
MS15-076 の 3067505
Windows 7 for x64-based Systems Service Pack 1[1] (3101246) 重要
セキュリティ機能のバイパス
MS15-076 の 3067505
Windows Server 2008 R2
Windows Server 2008 R2 for x64-based Systems Service Pack 1[1] (3101246) 重要
セキュリティ機能のバイパス
MS15-076 の 3067505
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1[1] (3101246) 重要
セキュリティ機能のバイパス
MS15-076 の 3067505
Windows 8 および Windows 8.1
Windows 8 for 32-bit Systems[2] (3101246) 重要
セキュリティ機能のバイパス
MS15-052 の 3050514
Windows 8 for x64-based Systems[2] (3101246) 重要
セキュリティ機能のバイパス
MS15-052 の 3050514
Windows 8.1 for 32-bit Systems
(3101246)
重要
セキュリティ機能のバイパス
なし
Windows 8.1 for x64-based Systems
(3101246)
重要
セキュリティ機能のバイパス
なし
Windows Server 2012 および Windows Server 2012 R2
Windows Server 2012[2] (3101246) 重要
セキュリティ機能のバイパス
MS15-052 の 3050514
Windows Server 2012 R2
(3101246)
重要
セキュリティ機能のバイパス
なし
Windows 10
Windows 10 for 32-bit Systems[3] (3105213) 重要
セキュリティ機能のバイパス
3097617
Windows 10 for x64-based Systems[3] (3105213) 重要
セキュリティ機能のバイパス
3097617
Windows 10 Version 1511 for 32-bit Systems[3] (3105211) 重要
セキュリティ機能のバイパス
なし
Windows 10 Version 1511 for 64-bit Systems[3] (3105211) 重要
セキュリティ機能のバイパス
なし
Server Core インストール オプション
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core インストール)
(3101246)
重要
セキュリティ機能のバイパス
なし
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core インストール)
(3101246)
重要
セキュリティ機能のバイパス
なし
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール)
(3101246)
重要
セキュリティ機能のバイパス
MS15-076 の 3067505
Windows Server 2012 (Server Core インストール)[2] (3101246) 重要
セキュリティ機能のバイパス
MS15-052 の 3050514
Windows Server 2012 R2 (Server Core インストール)
(3101246)
重要
セキュリティ機能のバイパス
なし

[1]MS15-121 の更新プログラム 3081320 および MS15-115 の更新プログラム 3101746 は、このセキュリティ情報 MS15-122 の更新プログラム 3101246 と共にリリースされます。Windows 7 Service Pack 1 または Windows Server 2008 R2 Service Pack 1 上でこれら 3 つすべての更新プログラムを手動でインストールするお客様は、3101246、3081320、3101746 の順で更新プログラムをインストールする必要があります (自動更新を有効にしている場合は、自動的にこの順序でインストールされます)。代わりに、お客様は更新プログラム 3101246 と 3081320 を含む、更新プログラム 3101746 のみをインストールすることができます。詳細については、マイクロソフト サポート技術情報 3105256 の既知の問題に関するセクションを参照してください。

[2]MS15-121 の更新プログラム 3081320 および MS15-115 の更新プログラム 3101746 は、このセキュリティ情報 MS15-122 の更新プログラム 3101246 と共にリリースされます。Windows 8 または Windows Server 2012 上でこれら 3 つすべての更新プログラムを手動でインストールするお客様は、3101246、3101746、3081320 の順で更新プログラムをインストールする必要があります (自動更新を有効にしている場合は、自動的にこの順序でインストールされます)。代わりに、お客様は更新プログラム 3101246 と 3101746 を含む、更新プログラム 3081320 のみをインストールすることができます。詳細については、マイクロソフト サポート技術情報 3105256 の既知の問題に関するセクションを参照してください。

[3]Windows 10 の更新プログラムは累積的です。セキュリティ以外の更新プログラムに加えて、今月のセキュリティ リリースと共に出荷されたすべての Windows 10 に影響を与える脆弱性のセキュリティ修正プログラムも含まれます。これらの更新プログラムは、Microsoft Update カタログを介して入手可能です。

注: Windows Server Technical Preview 3 が影響を受けます。このオペレーティング システムを実行しているお客様は、Windows Update から入手できる更新プログラムを適用することをお勧めします。

* "置き換えられる更新プログラム" 列には、置き換えられる一連の更新プログラムの中で、最新の更新プログラムのみが表示されています。置き換えられる更新プログラムの完全な一覧については、Microsoft Update カタログにアクセスし、更新プログラムのサポート技術情報番号を検索してから、更新プログラムの詳細を表示します (置き換えられる更新プログラムの情報は [パッケージの詳細] タブにあります)。

更新プログラムに関する FAQ

Windows RT と Windows RT 8.1 は「影響を受けるソフトウェアと脅威の深刻度」の表に記載されていません。なぜ、更新プログラム 3101246 が提供されるのですか?
脆弱性の影響を受けるコードはサポートされているすべてのバージョンの Windows に存在しますが、Windows RT または Windows RT 8.1 が搭載されているシステムではこの脆弱性を悪用することはできません。多層防御手段として、脆弱性の影響を受けるコードが含まれるサポートされているすべての製品とバージョンに、更新プログラムが実装されます。

脆弱性の情報

Windows Kerberos のセキュリティ機能のバイパス - CVE-2015-6095

ワークステーションにサインインするユーザーのパスワード変更を Kerberos が確認しない場合に、Windows にセキュリティ機能のバイパスが存在します。攻撃者は、標的のコンピューター上で Kerberos 認証をバイパスし、BitLocker により保護されているドライブを解読する可能性があります。

攻撃者は、ワークステーションを悪意のある Kerberos キー配布センター (KDC) に接続することで、Kerberos 認証をバイパスする可能性があります。

この更新プログラムは、認証チェックを追加することでバイパスを解決します。マイクロソフトは協調的な脆弱性の公開を通して、このセキュリティ機能のバイパスに関する情報を受けました。このセキュリティ情報が最初に公開された時点では、マイクロソフトはこのバイパスを悪用しようとする攻撃を確認していません。

問題を緩和する要素

お客様の状況で、次の「緩和する要素」が役立つ場合があります。

  • このバイパスが悪用される可能性があるのは、標的のシステムで PIN または USB キーを使用せずに BitLocker が有効である場合に限られます。
  • 攻撃が成功するためには、ドメイン ユーザーが標的のコンピューターにログオンしている必要があります。

回避策

マイクロソフトは、この脆弱性の回避策を確認していません。

セキュリティ更新プログラムの展開

セキュリティ更新プログラムの展開については、「概要」のこちらで言及されているマイクロソフト サポート技術情報を参照してください。

謝辞

マイクロソフトでは、協調的な脆弱性の公開によるお客様の保護に際して、セキュリティ コミュニティの方々からいただいたご助力に感謝いたします。詳細については、謝辞を参照してください。

免責

マイクロソフト サポート技術情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation およびその関連会社は、本文書に含まれている情報の使用および使用結果につき、正確性、真実性など、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社およびこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2015/11/11): このセキュリティ情報ページを公開しました。
  • V1.1 (2015/12/10): このセキュリティ情報ページを更新し、攻撃者が CVE-2015-6095 を悪用して標的のコンピューターに物理的にアクセスするという要件の記載を削除しました。これは情報のみの変更です。既に正常に更新プログラムをインストールされたお客様は、特別な措置を講じる必要はありません。
  • V1.2 (2016/04/08): 「影響を受けるソフトウェアと脅威の深刻度」セクションの脚注を更新し、MS15-115 の更新プログラム 3101746、MS15-121 の更新プログラム 3081320、MS15-122 の更新プログラム 3101246 のインストール順序を明記しました。これは情報のみの変更です。既に正常に更新プログラムをインストールされたお客様は、特別な措置を講じる必要はありません。

Page generated 2016-04-07 10:21-07:00.