マイクロソフト セキュリティ アドバイザリ (2607712)不正なデジタル証明書により、なりすましが行われる公開日: 2011年8月30日 | 最終更新日: 2011年9月20日 バージョン: 5.0
※ 上記の情報は、公開日または最終更新日の情報を基に作成しています。 概説概要マイクロソフトは DigiNotar (信頼されたルート証明機関ストアに含まれる証明機関) により発行された少なくとも 1 つの不正なデジタル証明書を使用して現在攻撃が行われていること確認しています。不正な証明書は、Internet Explorer ユーザーを含めたすべての Web ブラウザー ユーザーに対するコンテンツのなりすまし、フィッシング攻撃の実行、または中間者攻撃に悪用される可能性があります。これは、マイクロソフト製品の脆弱性ではありませんが、すべてのサポートされているリリースの Microsoft Windows に影響を及ぼします。 マイクロソフトはこの問題を引き続き調査しています。マイクロソフトは予備調査に基づき、すべてのサポートされているリリースの Microsoft Windows に対して、DigiNotar による次のルート証明書をマイクロソフトの信頼されていない証明書ストアに配置することによって失効させる新しい更新プログラム (KB2616676) を 2011 年 9 月 14 日に提供します。
推奨する対応策: マイクロソフトはお客様に更新プログラム管理ソフトウェアを使用して、または Microsoft Update サービスで更新プログラムをチェックして、この更新プログラムを適用することを推奨します。詳細情報は、このセキュリティ アドバイザリの「推奨するアクション」の欄をご覧ください。 既知の問題: サポート技術情報 2616676 では、この更新プログラムをインストールする際に起こる可能性のある既知の問題に関して説明しています。また、これらの問題に対する推奨される解決策についても説明しています。 アドバイザリの詳細問題に関するリファレンス影響を受けるソフトウェアおよびデバイスこのアドバイザリは、次のソフトウェアおよびデバイスについて説明しています。
*Server Core インストールは影響を受けます。サポートされているエディションの Windows Server 2008 または Windows Server 2008 R2 では、Server Core インストール オプションを使用してインストールされているかどうかに関わらず、この更新プログラムの深刻度は同じです。このインストール オプションに関する詳細情報は、Server Core および Windows Server 2008 R2 の Server Core をご覧ください。Server Core インストール オプションは Windows Server 2008 および Windows Server 2008 R2 の特定のエディションにのみ適用する事ができます。詳細は、Server Core インストールオプションの比較をご覧ください。
なぜこのアドバイザリは 2011 年 9 月 20 日に更新されたのですか? サポートされているエディションの Windows XP および Windows Server 2003 をご使用のお客様は再リリース版の KB2616676 の更新プログラムを適用し、このアドバイザリで特定している不正なデジタル証明書に対する保護を行ってください。サポートされているエディションの Windows Vista、Windows 7、Windows Server 2008 および Windows Server 2008 R2 はこの更新プログラムの再リリースの影響を受けません。 注: この再リリース版のパッケージは累積的は累積的な更新プログラムであり、KB2616676、KB2607712、および KB2524375 の更新プログラムによるすべての変更を含んでいるため、これらのオリジナルの更新プログラムをすべて以前に適用している場合、サポートされているエディションの Windows XP および Windows Server 2003 をご使用のお客様には提供されません。 自動更新を有効にしている大多数のお客様には、再リリース版の KB2616676 の更新プログラムが自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。 Windows Developer Preview はこの問題の影響を受けますか? なぜこのアドバイザリは 2011 年 9 月 14 日に更新されたのですか? なぜこのアドバイザリは 2011 年 9 月 7 日に更新されたのですか? 2011 年 8 月 30 日、マイクロソフトは証明書信頼リストを更新して、1 つの DigiNotar ルート証明書の信頼を削除しました。マイクロソフトはなぜ更新プログラムをリリースするのですか? 2011 年 8 月 30 日の証明書信頼リストの更新後、Windows Vista、Windows 7、Windows Server 2008、および Windows Server 2008 R2 をご使用のお客様には、信頼されていない DigiNotar ルート証明書によって署名された Web サイトにアクセスすると、証明書の信頼が確認できない旨の警告メッセージが表示されました。お客様は、この警告メッセージをクリックしてサイトにアクセスすることができました。 考えられる中間者攻撃からお客様をより包括的に保護することを目的として、マイクロソフトは、信頼されていない DigiNotar ルート証明書によって署名された証明書を含む Web サイトのリソースに、Internet Explorer ユーザーがまったくアクセスできないようにすることによって、お客様の保護をさらに強化する更新プログラムをリリースしています。この更新プログラムを適用した Internet Explorer ユーザーには、上記の DigiNotar ルート証明書のいずれかによって署名されている Web サイトにアクセスしようとすると、エラー メッセージが表示されます。この場合、ユーザーは該当する Web サイトへのアクセスを継続できません。 更新プログラム KB2616676 はどのように問題を修正しますか? TLS で暗号化され、信頼されていない DigiNotar ルート証明書によって署名されている Web サイトにアクセスしようとしたときのユーザー エクスペリエンスは、この更新プログラムによりどのように変わりますか? 更新プログラムを適用した後、マイクロソフトの信頼されていない証明書ストア内の証明書をどのように確認することができますか? MMC の証明書スナップインで、次の証明書が信頼されていない証明書のフォルダーに追加されていることを確認してください。
*これらの更新プログラムにより、信頼されていない証明書のフォルダーに追加される証明書 また、KB2616676 の更新プログラムは信頼されていない証明書フォルダーに追加された KB2524375 の更新プログラムも含んでいます。 このアドバイザリの目的は何ですか? 暗号化とは何ですか? すべての暗号化の形式で、プレーンテキスト データを暗号文に変換するために、暗号アルゴリズムと呼ばれるプロシージャと共に、キーと呼ばれる値が使用されます。最もよく知られた暗号化の種類は、秘密キーの暗号化で、暗号文が同じキーを使用してプレーンテキストに復号化されます。しかし、別の種類の暗号化である公開キーの暗号化では、暗号化テキストをプレーンテキストに復号化するために異なるキーが使用されます。 デジタル証明書とは何ですか?
証明書が使用される目的は何ですか?
証明機関 (CA) とは何ですか? 証明書信頼リスト (CTL) とは何ですか?
この問題は何が原因で起こりますか?
攻撃者は、この脆弱性を悪用して何を行う可能性がありますか?
中間者攻撃とは何ですか?
どのような手順で証明書を失効させるのですか?
Web ブラウザーがデジタル証明書の身元を確認する別の方法は、オンライン証明書状態プロトコル (OCSP) を使用することです。OCSP は、デジタル証明書に署名した証明機関 (CA) によりホストされている OCSP レスポンダーに接続することにより、証明書の対話的な確認を可能にします。すべての証明書は 機関情報アクセス (AIA) エクステンションにより OCSP レスポンダーの場所へのポインターを提供する必要があります。さらに、OCSP ステープリングにより Web サーバー自体が OCSP 検証応答をクライアントに提供することができます。 OCSP 検証は既定で、サポートされているエディションの Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2上の Internet Explorer 7 およびそれ以降のバージョンの Internet Explorer で有効となっています。これらのオペレーティング システムでは、OCSP 検証のチェックが失敗した場合、ブラウザーが CRL の場所に接続することにより、証明書を検証します。 証明書の失効のチェックに関する詳細情報は TechNet コラム Certificate Revocation and Status Checking (英語情報) をご覧ください。 証明書失効リスト (CRL) とは何ですか? CRL 配布ポイント (CDP) とは何ですか? オンライン証明書状態プロトコル (OCSP) とは何ですか? マイクロソフトはこの問題解決の手助けを行うために何をしていますか? 無効な証明書のエラーが発生した場合、それはどのように分かるのですか? 証明書失効リスト (CRL) またはオンライン証明書状態プロトコル (OCSP) 検証が有効である場合など、証明書が無効であると確認された場合のみ、ユーザーにこのメッセージが表示されます。OCSP 検証は既定で、サポートされているエディションの Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2上の Internet Explorer 7 およびそれ以降のバージョンの Internet Explorer で有効となっています。
関連情報Microsoft Active Protections Program (MAPP)お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。 フィードバック
サポート
免責この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません (Microsoft Corporation、その関連会社またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます)。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。 更新履歴
|