[MS12-006] SSL/TLS の脆弱性により、情報漏えいが起こる (2012 年 1 月 10 日)

マイクロソフトはセキュリティ情報 MS12-006 を公開しました。セキュリティ情報の詳細を参照するには、次のいずれかのマイクロソフト Web サイトにアクセスしてください。

• ホーム ユーザー向け:
  http://www.microsoft.com/ja-jp/security/pc-security/bulletins/201201.aspx (http://www.microsoft.com/ja-jp/security/pc-security/bulletins/201201.aspx)
  詳細をスキップ: ご自宅のコンピューターまたはノート PC に、Microsoft Update Web サイトから更新プログラムを今すぐダウンロードします。
  http://www.update.microsoft.com/microsoftupdate (http://www.update.microsoft.com/microsoftupdate)
• IT プロフェッショナル向け:
  http://technet.microsoft.com/ja-jp/security/bulletin/ms12-006 (http://technet.microsoft.com/ja-jp/security/bulletin/ms12-006)

このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法:

ホーム ユーザー向けの無料サポートをご用意しています。米国およびカナダのお客様は、電話で 1-866-PCSAFETY にお問い合わせください。他の地域のお客様は、各地域の支社にお問い合わせください。セキュリティ更新プログラムのサポートに関する各地域の支社の問い合わせ先については、以下のマイクロソフトの世界のサポート Web サイトを参照してください。 北米のお客様は、次のマイクロソフト Web サイトから、無条件の無償電子メール サポートまたは無条件の個人チャット サポートもご利用ください。法人のお客様向けのセキュリティ更新プログラムのサポートについては、通常ご使用のサポート連絡先をご利用ください。

以下の 2 つの Fix it ソリューションを利用できます。

• Internet Explorer 上の Transport Layer Security (TLS) 1.1 用の Fix it ソリューション: ソリューションは Windows Internet Explorer 上の TLS 1.1 を有効にしますが、この脆弱性の影響を受けることはありません。通常のユーザーはこの Fix it ソリューションをインストールする必要があります。
• Windows ベースのサーバー上の TLS 1.1 用の Fix it ソリューション: ソリューションは TLS 1.1 を有効にしますが、脆弱性の影響を受けることはありません。

このセクションに記載されている Fix it ソリューションは、セキュリティ更新プログラムに代わるものではありません。常に、最新のセキュリティ更新プログラムをインストールすることをお勧めします。ただし、一部の状況用に、回避策オプションとしてこれらの Fix it ソリューションを提供します。

回避策の詳細については、セキュリティ情報 MS12-006 を参照してください。 このセキュリティ情報には、次の情報を含む、問題に関する詳細情報が記載されています。

• 回避策を適用または無効にする状況
• 問題を緩和する要素
• 回避策
• よく寄せられる質問

具体的に、この情報を表示するには、[脆弱性の情報] セクションを探し、[SSL および TLS プロトコルの脆弱性 - CVE-2011-3389] の下の [回避策] を展開します。

Internet Explorer 上の TLS 1.1 用の Fix it ソリューション

: この Fix it ソリューションを有効または無効にするには、[有効にする] 見出しの下または [無効にする] 見出しの下の [この問題を解決する] ボタンまたはリンクをクリックします。[ファイルのダウンロード] ダイアログ ボックスで [実行] をクリックし、このウィザードの手順に従います。

注意事項

• これらのウィザードは英語版のみとなります。自動的な解決は英語版以外の Windows でも機能します。
• 問題のあるコンピューターとは別のコンピューターを操作している場合、自動的な解決ツールをフラッシュ ドライブまたは CD に保存することで、問題のあるコンピューターで実行することができます。

Windows ベースのサーバー上の TLS 1.1 用の Fix it ソリューション

この Fix it ソリューションを有効または無効にするには、[有効にする] 見出しの下または [無効にする] 見出しの下の [この問題を解決する] ボタンまたはリンクをクリックします。[ファイルのダウンロード] ダイアログ ボックスで [実行] をクリックし、このウィザードの手順に従います。

注意事項

• これらのウィザードは英語版のみとなります。自動的な解決は英語版以外の Windows でも機能します。
• 問題のあるコンピューターとは別のコンピューターを操作している場合、自動的な解決ツールをフラッシュ ドライブまたは CD に保存することで、問題のあるコンピューターで実行することができます。

このセキュリティ更新プログラムに関する既知の問題

既知の問題およびこのセキュリティ更新プログラムの追加情報

以下の資料では製品バージョン別に、このセキュリティ更新プログラムに関する追加情報が掲載されています。資料には、既知の問題に関する情報が掲載されている可能性があります。この場合、各資料のリンクの下に既知の問題が列記されています。

• 2585542  (http://support.microsoft.com/kb/2585542/ja/ ) [MS12-006] Windows の Webio、Winhttp、および schannel のセキュリティ更新プログラム (2012 年 1 月 10 日) について
• 2638806  (http://support.microsoft.com/kb/2638806/ja/ ) [MS12-006] Windows Server 2003 および Windows XP Professional x64 Edition の Winhttp のセキュリティ更新プログラム (2012 年 1 月 10 日) について

レジストリ情報

非推奨 以下の手順を使用してこのセキュリティ更新プログラムを無効にすることはお勧めしません。ただし、すべてのアプリケーションに対して分割 SSL レコードを有効にするこのセキュリティ更新プログラムと互換性のないアプリケーションを使用する場合のために、この手順を説明します。

重要 このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。

既定では、アプリケーションの互換性の問題のために、このセキュリティ更新プログラムは、schannel レベルで選択モードに設定します。システム全体のすべてのアプリケーションに対してこのセキュリティ更新プログラムを無効にするには、SendExtraRecord という名前の DWORD 値を 2 に設定して次のレジストリ サブキーに追加する必要があります。 この schannel レジストリ エントリを追加するには、次の手順に従います。

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「regedit」と入力し、[OK] をクリックします。
2. レジストリで次のサブキーを見つけてクリックします。
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
4. DWORD 値の名前として「SendExtraRecord」と入力し、Enter キーを押します。
5. [SendExtraRecord] を右クリックし、[修正] をクリックします。
6. [値のデータ] ボックスに「2」と入力して schannel での分割レコードを無効にし、[OK] をクリックします。
7. レジストリ エディターを終了します。

このレジストリには次の 3 つの値を指定することができ、それぞれが異なる動作モードに設定します。 社内のテストによって、値を 1 に設定すると、企業内で発生する分割が多くなりすぎるので実用的ではないことがわかりました。そのため、この値を使用することはお勧めしません。

SendExtraRecord レジストリ エントリを有効にした場合の既知の問題

• SendExtraRecord レジストリ値を 1 に設定すると、schannel 内での暗号化データに対するすべての呼び出しでレコードが強制的に分割されます。これは、呼び出し元がセッションの初期化中に Secure フラグを送信したかどうかに関係なく実行されます。
• schannel を使用する多くのアプリケーションが、受信側から見るとアプリケーション データが 1 つのパケットにパッケージ化されているように見えるように書き込まれます。これは、アプリケーションが暗号化解除のために schannel を呼び出すにもかかわらず実行されます。アプリケーションは、schannel によって設定されるフラグを無視します。このフラグは、受信側によって復号化および選択されるデータが残っていることをアプリケーションに知らせます。このモードは、MSDN によって規定された schannel の使用方法に従っていません。このセキュリティ更新プログラムはレコードの分割を適用するので、そのようなアプリケーションが中断されます。
• 中断されるアプリケーションには、マイクロソフト製品および受信トレイ コンポーネントが含まれます。次に、SendExtraRecord レジストリ値を 1 に設定したときに中断が発生する可能性がある状況の例を示します。
• すべての SQL 製品および SQL 上に構築されているアプリケーション
• ネットワーク レベル認証 (NLA) が有効になっているターミナル サーバー。NLA は Windows Vista 以降のバージョンの Windows で既定で有効になります。
• いくつかのルーティングとリモート アクセス サービス (RRAS) のシナリオ

SendExtraRecord レジストリ値を 1 に設定すると、Windows TLS/SSL を使用するすべてのアプリケーションに対してセキュリティで保護されたレコードの分割が強制されます。ただし、この設定はアプリケーションの互換性の問題を発生せる可能性があります。そのため、このレジストリ設定を使用する代わりに、TLS 1.1 および TLS 1.2 を構成することをお勧めします。TLS 1.1 および TLS 1.2 にはこの問題に対する脆弱性はありません。

ユーザーがこのレジストリ設定を使用する場合は、実装の前にアプリケーションの互換性テストを十分に行うことをお勧めします。この設定の影響を受けることがわかっている一般的な製品には、Microsoft SQL 製品、Windows ターミナル サーバー、Windows Remote Access Server が含まれます。

質問: マイクロソフトは、ユーザーのサーバー側のアプリケーションの修正をどのようにサポートしますか。
回答: 次の RFC の説明を参照して、お使いのアプリケーションが SSL/TLS アプリケーション レコードの断片化を処理できることを確認してください。

• TLS 1.0:http://www.ietf.org/rfc/rfc2246.txt paragraph 6.2.1 (http://www.ietf.org/rfc/rfc2246.txt)
• SSL 3.0:http://www.ietf.org/rfc/rfc6101.txt paragraph 5.2.1 (http://www.ietf.org/rfc/rfc6101.txt)

注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件 (http://go.microsoft.com/fwlink/?LinkId=151500) を参照してください。