January, 2013

みなさん、こんにちは。セキュリティ レスポンス チームの村木ゆりかです。

年始に公開されたセキュリティ アドバイザリ 2798897 も記憶に新しいように、証明書に関するアドバイザリや更新は増えてきています。

今回は、マイクロソフトと、証明機関が連携して行っている証明書基盤づくりの取り組みを紹介します。

証明機関をなぜ信用するのか？

セキュアなウェブサイト (HTTPS サイト) を閲覧する際に、サーバーの身分を証明し、安全な暗号化通信を行うために、証明書が利用されていることは、多くの皆さんがご存知ではないでしょうか。この証明書での認証が行われることで、ウェブサイトが信頼されるものであると処理されていますが、インターネットの世界においては、お互い知らない者同士である、ウェブサイトと、ユーザーですが、どのようにして信頼しているのでしょうか？

このようなシチュエーションは現実世界でも起きています。たとえば、印鑑証明です。契約などの際に利用する印鑑は、信頼している公的機関である役所から発行された印鑑証明書を利用して、初めて出会う者同士でも信頼を確立して取引が行えるようになっています。

デジタルの世界でも同じです。証明機関は様々な審査を行った上でウェブサイトへ証明書を発行し、利用者は、証明機関を信頼することで、初めて会うウェブサイトとユーザーの間に信頼関係が生まれるのです。

このように、当事者同士だけではなく、共通の第三者を信頼することにより信頼性を確立することを、「第三者認証」と呼びます。これが、証明書を利用する基盤における基本的な仕組みです。

Windows で証明機関を信頼するとは？

Windows においては、「証明機関 (CA) を信頼している」ことを、「CA 証明書を信頼された証明書としてインストールしている」 ということをもって確認します。

悪用が行われた場合や証明書の鍵を紛失してしまった場合など、何らかの問題が発生した場合、証明書の利用を取りやめるために、「証明書を信頼しない」ようにすることもできます。これを証明書の失効といいます。Windows においては、失効する方法のひとつとして、「信頼されていない証明書としてインストールする方法」があります。セキュリティ アドバイザリでは、問題の発生した証明機関の証明書の情報を公開し、それらを失効する (信頼していない証明書としてインストールする) ための更新プログラムを公開しています。（注釈 1）

どの証明書を、どのような認識としてインストールしているかは、Internet Explorer から、[ツール] – [インターネット オプション] – [コンテンツ] タブの [証明書] タブから確認できます。「信頼されたルート証明機関」「信頼された発行元」「中間証明機関」にある証明書は、信頼している証明機関です。「信頼されない発行元」にある証明書は、失効した証明機関の証明書やサーバーの証明書などです。

ルート証明書更新プログラムと、自動失効ツール

現在、数百もの証明機関が世の中に構築されています。ひとつひとつの証明機関の信頼性を自身で確認し、信頼するのは大変です。また、信頼性を確認しても、CA証明書の手動でのインストールや、失効した証明書が発生する度に更新を行うのはとても大変です。

そこで、マイクロソフトでは、ユーザーのみなさんに安全にインターネットや、その他の証明書を利用した機能を利用いただくために、「ルート証明書更新プログラム」という取り組みを行っています。

このルート証明書更新プログラムでは、証明機関と連携を行い、信頼できる証明機関のリストを作成しています。

それぞれの証明機関が、信用できるものなのか、マイクロソフトが皆さんに代わって確認を行い、信頼できる CA 証明書を配信し、Windows 端末に自動でインストールが行われます。信頼できる証明機関の証明書とするためには、証明機関の監査の状況、CA 証明書に利用しているアルゴリズムや鍵長など、安全性が確保されるセキュリティ要件を満たす必要があります。

作成されている信頼される証明機関のリストは、ウェブサイトを閲覧した際などに、利用している Windows 端末から自動的にマイクロソフトのサーバーへ接続し参照が行われます。リストに記載されている証明機関であった場合には、信頼しているものとして CA 証明書をインストールします。

この機能は、Windows XP, Windows 2003 以降の Windows では既定で有効になっています。

また、失効した証明書についても配信を行っており、利用している Windows 端末にて自動で確認、および更新を行うことができます。

Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2 をご利用の方は、サポート技術情報 2677070で公開している更新プログラムをインストールすることで、この機能を利用可能です。Windows Update を自動更新 (既定) にしている方は、自動でインストールされます。また、Windows 8 /Windows Server 2012 をご利用の場合は、既定でこの機能は利用可能になっています。

おわりに

証明書の利用はどんどん広まり、それゆえに、利用する側としては、管理や信頼性の確保は複雑さを増しています。

マイクロソフトは、Windows や Internet Explorer にて安全に証明書を利用していただくために、様々な取り組みや実装を行っています。

今回は、代表的な取り組みであるルート証明書更新プログラムをご紹介しました。こうした取り組みを知っていただくことで、より安心いただけると嬉しいです。

注釈1: 2013 年1 月 17 日現在、以下のセキュリティ アドバイザリが公開されています。

マイクロソフト セキュリティ アドバイザリ 2524375

マイクロソフト セキュリティ アドバイザリ 2607712

マイクロソフト セキュリティ アドバイザリ 2641690

マイクロソフト セキュリティ アドバイザリ 2718704

マイクロソフト セキュリティ アドバイザリ 2728973

2013 年 1 月 14 日に定例外の事前通知でお伝えした通り、本日、1 月 15 日に定例外でセキュリティ アドバイザリ (2794220) で説明していた Internet Explorer 6、7、8 の脆弱性に対応するセキュリティ情報 MS13-008 を公開しました。

※ 日本語訳は抄訳版を公開しています。完全翻訳版は現在準備中です。しばらくお待ちください。完全翻訳版を公開次第、こちらのブログでお知らせします。
2013/1/15 15:20 更新:  セキュリティ情報 MS13-008 の完全翻訳版を公開しましたことをお知らせします。

現在、本脆弱性を悪用した攻撃が限定的な範囲ですが報告されていますので、マイクロソフトは影響を受けるすべての環境に対してMS13-008 のセキュリティ更新プログラムを早期に適用いただくことを推奨します。


適用に際しての注意

• 今回の Internet Explorer 用セキュリティ更新プログラムは、累積的なセキュリティ更新プログラムではありません。セキュリティ情報 MS13-008 で提供しているセキュリティ更新プログラムを適する前に、最新の累積的なセキュリティ更新プログラム MS12-077 を先にインストールしてください。最新の累積的なセキュリティ更新プログラムをインストールしていない場合、互換性の問題が発生する可能性があります。
  手動でセキュリティ更新プログラムを適用されているお客様はご注意ください。

• セキュリティ アドバイザリ (2794220) の回避策として提供していた Microsoft Fix it ソリューション (サポート技術情報 2794220) を適用している環境にもセキュリティ情報 MS13-008 で提供しているセキュリティ更新プログラムを適用することができます。回避策が不要な場合には、セキュリティ更新プログラムの適用後に回避策を無効化することもできます。回避策無効化の手順は、サポート技術情報 2794220 を参照してください。

MS13-008 の定例外のセキュリティ更新プログラムは、本日 2013 年 1 月 15 日よりダウンロードセンター (※) のほか、自動更新、Microsoft Update, Windows Update, WSUS経由で提供されています。
※ 現在ダウンロード センターからは英語版のセキュリティ更新プログラムのみ入手可能になっています。セキュリティ更新プログラムを手動でダウンロードされる場合は、 Microsoft Update カタログをご利用ください。


参考情報

• マイクロソフト セキュリティ情報 MS13-008
  Internet Explorer 用のセキュリティ更新プログラム (2799329) (2013/1/15)
  
• マイクロソフト セキュリティ アドバイザリ 2794220
  Internet Explorer の脆弱性により、リモートでコードが実行される (2013/1/7)
• 日本のセキュリティチームのブログ
  2013 年 1 月のセキュリティ情報 (月例) – MS13-001 ～ MS13-007 (2013/1/9)
  2013 年 1 月 15 日のセキュリティ リリース予定 (定例外) (2013/1/14)
• MSRC ブログ
  MS13-008 Released for Security Advisory 2794220 (2013/1/15)
  
  

先週の事前通知でお知らせしましたとおり、計 7 件 (緊急 2 件、重要 5 件) の新規セキュリティ情報を公開しました。また、今月の「悪意のあるソフトウェアの削除ツール」では、新たな脅威ファミリ 2 件に対応しています。

公開時点で悪用が確認されている脆弱性はありませんが、可能な限り早期にセキュリティ更新プログラムを適用するようお願いします。なお、企業ユーザーで適用に優先付けが必要なお客様は、MS13-002 (XML コア) を優先的に適用いただくことを推奨いたします。

また、以前公開した以下のセキュリティ アドバイザリを更新しました。

■セキュリティ アドバイザリ 2755801

セキュリティ アドバイザリ 2755801「Internet Explorer 10 上の Adobe Flash Player の脆弱性用の更新プログラム」を更新し、最新の更新プログラムに KB2796096 を追加しました。

■セキュリティ アドバイザリ 973811

セキュリティ アドバイザリ 973811「認証に対する保護の強化」を更新して、Windows XP および Windows Server 2003 システムで NTLMv2 のみを許可するように設定する Microsoft Fix it ソリューションの提供を開始したことをお知らせしました。

■2013 年 1 月のセキュリティ情報一覧

各セキュリティ情報の概要、各脆弱性の悪用可能性指標、更新プログラムのダウンロード先などがご覧いただけます。

http://technet.microsoft.com/ja-jp/security/bulletin/ms13-Jan

マイクロソフトは新たに確認した脆弱性について、次の 7 件のセキュリティ情報を公開しました。

※ MS12-003 に関する注意
Microsoft System Center Operations Manager 2007 Service Pack 1 用のセキュリティ更新プログラムは現時点ではご利用いただけません。また、Microsoft System Center Operations Manager 2007 R2 用の更新プログラムは、マイクロソフト
ダウンロード センターからのみ入手可能です。

■最新のセキュリティ情報を動画と音声でまとめて確認

マイクロソフトセキュリティ レスポンス チームが IT プロの皆様に向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声で紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。

■年末年始にリリースされたアドバイザリ情報一覧

年末年始に以下 2 件のセキュリティ アドバイザリを公開しました。推奨する対応策など詳細については、各セキュリティ アドバイザリを参照してください。

◆セキュリティ アドバイザリ 2794220 – 2012/12/29 (PST) 公開

Internet Explorer 6、Internet Explorer 7、および Internet Explorer 8に存在する脆弱性についての公開された報告を調査しています。また、Internet Explorer 8 を利用しこの脆弱性を悪用しようとする限定的な標的型攻撃を確認しています。

この問題を解決するためのセキュリティ更新プログラムを現在開発中です。この脆弱性の悪用を回避する Microsoft Fix it ソリューションを提供していますので、ご利用ください。また、Enhanced Mitigation Experience Toolkit (EMET) をご利用いただくことでも、この脆弱性の悪用を回避することができます。EMET の詳細については、「EMET の最新バージョン EMET 3.0 を公開しました」を参照してください。

詳細については、セキュリティ アドバイザリ 2794220 および Security Research & Defense のブログを参照してください。

• セキュリティ ���ドバイザリ 2794220「Internet Explorer の脆弱性により、リモートでコードが実行される」
• Microsoft "Fix it" available for Internet Explorer 6, 7, and 8
• New vulnerability affecting Internet Explorer 8 users

◆セキュリティ アドバイザリ 2798897 – 2013/01/03 (PST) 公開

TURKTRUST 社 (信頼されたルート証明機関ストアに含まれる証明機関) により発行された少なくとも 1 つの不正なデジタル証明書を使用して現在攻撃が行われていること確認しています。不正な証明書は、コンテンツのなりすまし、フィッシング攻撃の実行、または中間者攻撃に悪用される可能性があります。この問題は、すべてのサポートされているリリースの Microsoft Windows に影響を及ぼします。

失効した証明書の自動更新ツール (詳細はサポート技術情報 2677070 を参照) を使用しているシステム、Windows 8、Windows RT、Windows Server 2012 および Windows Phone 8 を実行しているデバイスは、自動的に保護されるため特別な措置を講じる必要はありません。

Windows XP および
Windows Server 2003 をご利用のお客様または、失効した証明書の自動更新ツールをインストールしていないお客様について、マイクロソフトは更新プログラム管理ソフトウェアまたは Microsoft Update サービスを使用して更新プログラムを確認、または更新プログラムを手動にてダウンロードし、2798897 更新プログラムを直ちに適用することを推奨します。

詳細については、セキュリティ
アドバイザリ 2798897 を参照してください。

• セキュリティ アドバイザリ 2798897「不正なデジタル証明書により、なりすましが行われる」

2013 年 1 月の月例セキュリティ リリースの事前通知を公開しました。2013 年 1 月 9 日に公開を予定している新規月例セキュリティ情報は、合計 7 件 (緊急 2 件、重要 5 件) です。また、毎月リリース同日に公開している最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミングビデオ (Web キャスト) の今月のマイクロソフト ワンポイント セキュリティも、当日午後に公開予定です。

公開予定の詳細は、以下の事前通知のサイトをご覧ください。

http://technet.microsoft.com/ja-jp/security/bulletin/ms13-jan

2013 年 1 月 15 日に定例外で行われるセキュリティ リリースの事前通知を公開しました。

2012 年 12 月 30 日 (日本時間) にセキュリティ アドバイザリ 2794220 にて注意喚起を実施した Internet Explorer 6、7、8 の脆弱性を解決するセキュリティ更新プログラムを 2013 年1 月14 日 (米国時間) に、定例外のセキュリティ情報として公開する予定です。

公開予定の詳細は、以下の事前通知のサイトをご覧ください。

http://technet.microsoft.com/ja-jp/security/bulletin/ms13-jan

皆さん、こんにちは！
先ほど 1 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。

本日 1 月 9 日に公開した新規 7 件 (緊急 2 件、重要 5 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。

また内容に関するフィードバックも随時受け付けています。「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。

ダウンロード用の Web キャストは以下のサイトから入手可能です。
http://technet.microsoft.com/ja-jp/security/dd251169.aspx

下の画像をクリックして動画を再生してください。

Format: wmv
Duration: