2015 年 3 月 6 日に、セキュリティアドバイザリ 3046015 「Schannel の脆弱性により、セキュリティ機能のバイパスが起こる」を公開しました。(日本語版サイトは、準備ができ次第公開いたします。)

マイクロソフトは、すべてのサポートされているリリースの Microsoft Windows に影響を与える Secure Channel (Schannel) のセキュリティ機能のバイパスの脆弱性を確認しています。この脆弱性は、通称 FREAK (Factoring attack on RSA-EXPORT Keys) として知られる業界全体に影響を与える脆弱性です。 

なお、現時点で確認されている攻撃手法においては攻撃をを成功させるために、サーバーが 輸出用RSA 鍵交換の暗号化スイートをサポートしていることが必要条件です。Windows サーバーは、既定の設定では、輸出用RSA 鍵交換の暗号化スイートを利用しないため、攻撃の影響を受けません。 

このセキュリティ アドバイザリがリリースされた時点では、マイクロソフトは、この問題が公にお客様の攻撃に使用されたと示す情報は受け取っておりません。 

マイクロソフトでは継続して本脆弱性の影響を調査しており、調査が完���次第、お客様を保護するための適切な措置を講じる予定です。

 

影響を受ける製品

すべてのサポートされているリリースの Microsoft Windows

 現時点で確認されている攻撃手法においては攻撃をを成功させるために、サーバーが 輸出用RSA 鍵交換の暗号化スイートをサポートしていることが必要条件です。Windows サーバーは、既定の設定では、輸出用RSA 鍵交換の暗号化スイートを利用しないため、攻撃の影響を受けません。

 

推奨するアクション

セキュリティ アドバイザリ 3046015 をご覧いただき、必要な回避策を講じることをご検討ください。