このセキュリティ情報は最初にリリースされてから何度も更新されています。それはなぜですか?
このセキュリティ情報は、最初にリリースされてから何度か更新されました。これらの更新のほとんどが、プラットフォームの更新プログラムが入手可能になったことをお知らせするためか、または細かな間違いを訂正するためのものでした。しかし、以下の 3 回の更新は特に重要なものでした。
| • | 2002 年 9 月 4 日 (米国日付) にリリースされた最初のバージョンのセキュリティ情報では、元の脆弱性に関して、およびその更新プログラムが入手可能であることに関して説明されました。 |
| • | 2002 年 9 月 9 日 (米国日付) にリリースされた、このセキュリティ情報のバージョン 3.0 では、更新プログラムを適用したシステム上のハードウェア デバイスのインストールに関連して発生する、別の影響に関して説明されました。 |
| • | 2002 年 11 月 20 日 (米国日付) にリリースされた、このセキュリティ情報では、元の更新プログラムに関連する影響および Windows NT 4.0 および Windows 98 に影響を及ぼし、デジタル証明書の処理に関連する新たな脆弱性も排除するアップデート版の更新プログラムに関してお知らせしました。 |
| • | 2003 年 11 月 11 日 (米国日付) にこのセキュリティ情報を更新し、Microsoft Windows 2000 Service Pack 4 (SP4) のアップデート版のセキュリティ更新プログラムが利用可能になったことをお知らせしました。このアップデート版の更新プログラムは、Windows 2000 SP4 をインストールしたコンピュータに Microsoft Internet Explorer 6 Service Pack 1 をインストールする際に発生する可能性があるリグレッションを修正します。このリグレッションにより、このセキュリティ情報で説明され、Windows 2000 SP4 の一部として提供されているアップデートが削除されます。Windows 2000 SP4 環境に Internet Explorer 6 Service Pack 1 をインストールしたお客様は、このアップデート版の Windows 2000 SP4 の更新プログラムを適用し、この脆弱性からコンピュータを保護するようにしてください。 |
元のバージョンの更新プログラムに関連して発生する影響とは何ですか?
仕様上、この更新プログラムでは、デジタル証明書の妥当性をチェックするためにより厳しい基準が設けられています。しかし、この更新プログラムのリリース直後、マイクロソフトが発行した、あるデジタル証明書がこの新たな基準に合格しないことを確認しました。このデジタル証明書は、ディスク ドライブ、ネットワーク カード、モデムなどと Windows との互換性のテストがされているかを確認するために使用されるものです。
これにより、更新プログラムが適用されたシステムに、新しいハードウェアをインストールした場合に問題が発生しました。この証明書が新たな基準に合格しないため、そのハードウェアが Windows との互換性テストが行われていないと誤ってユーザーに知らせるメッセージが Windows に表示されました。ほとんどの場合、(すべてではありませんが) ユーザーは Windows にそのハードウェアをとりあえずインストールすることを選択することができます。
2002 年 11 月 20 日にリリースされたバージョンの更新プログラムは何を修正しますか?
2002 年 11 月 20 日 (米国日付) にリリースされた更新プログラムのバージョンにより、マイクロソフトのデジタル証明書の問題が修正され、元のバージョンで発生していた影響も解決されます。しかし、この更新プログラムにより、その他の問題も修正されます。マイクロソフトは以下で説明している、Windows NT 4.0 および Windows 98 のみに影響を及ぼす問題に関連するセキュリティ上の新たな脆弱性を確認し、その問題を解決する更新プログラムをアップデート版の更新プログラムに含みました。
オリジナルの更新プログラム (2002 年 9 月 4 日リリース) をインストールしました。2002 年 11 月 20 日にリリースされたバージョンの更新プログラムをインストールする必要がありますか?
はい、あります。元のバージョンの更新プログラムの問題に対する修正により、アップデート版の更新プログラムが保証され、インストールされます。しかし、Windows NT 4.0 および Windows 98 のユーザーに関しては、新たな脆弱性が発見されたことにより、すべてのお客様がアップデート版の更新プログラムをインストールすることがいっそう重要になりました。
Windows 2000 Service Pack 4 をインストールしておらず、Internet Explorer 6 Service Pack 1 をインストールしました。2003 年 11 月 11 日にリリースされたアップデート版の Windows 2000 Service Pack 4 の更新プログラムをインストールする必要がありますか?
いいえ、必要ありません。2003 年 11 月 11 日にリリースされたアップデート版の更新プログラムは、Windows 2000 SP4 環境に Internet Explorer 6 Service Pack 1 をインストールしたお客様のみを対象としています。その条件に当てはまるお客様のみがこのアップデート版の Windows 2000 SP4 の更新プログラムを適用し、この脆弱性からコンピュータを保護する必要があります。
アップデート版の更新プログラムの Q 番号が元のバージョンの番号と異なっているのはなぜですか?
アップデート版の更新プログラムをインストールしたことをお客様が確認できるようにするため、Q 番号を変更しました。元のバージョンの更新プログラムの Q 番号は Q328145 で、新しいバージョンの Q 番号は Q329115 です。
元の脆弱性により、どのようなことが起こる可能性がありますか?
この脆弱性により、攻撃者はデジタル証明書を作成し、それが偽のものであっても、正当な証明書として受け入れられるようにする可能性があります。デジタル証明書は様々なセキュリティ関連の目的で使用されます。たとえば、ユーザーはデジタル証明書を使用して Web サイトの識別、電子メールの送信者の確認、特定のプログラムを実行しても安全であるかどうかの確認などを行います。外見上有効である証明書を偽造することにより、様々な攻撃が行われる可能性があります。
多くの場合、デジタル証明書を発行している企業が従っている特定のポリシーはこの脆弱性による危険を緩和します。これらのポリシーはこの脆弱性が悪用されることを困難、または不可能にする見込みがあり、また、特定の攻撃を行っている人物を確定することを容易にする場合もあります。さらに、重要な点として、ユーザーは常にデジタル証明書を確認し、この脆弱性が悪用されようとしている徴候を見つけることができます。
何が原因で起こりますか?
影響を受ける製品がデジタル証明書を確認する時、証明書に含まれる基本制限フィールドを確認する方法に存在する問題のためにこの脆弱性が起こります。これらの問題により、攻撃者は証明機関になりすまし、任意の情報で下位証明書を作成し、影響を受ける製品がこれを有効な証明書として受け入れる可能性があります。
デジタル証明書とは何ですか?
デジタル証明書とは公開鍵暗号で用いられるものです。公開鍵暗号では、2 つの鍵が使用されます。1 つは秘密鍵で、秘密の状態に保たれなければなりません。もう 1 つは公開鍵で、世界中で共有されることを意図されています。公開鍵が効果的に共有されるためには、その鍵の所有者、使用方法、その情報が正当なものであるかどうかを確認する方法が必要になります。デジタル証明書はこれを行う手段を提供します。
デジタル証明書はそれに関する情報 (所有者、使用用途、有効期限など) と公開鍵を組み合わせます。ユーザーがデジタル証明書を必要とする場合、それを証明機関 (CA) と呼ばれる組織から取得します。CA は証明書を作成するだけでなく、それにデジタル署名をします。これにより、証明書内の情報を保証し、無断で変更されることを防ぎます。
デジタル証明書は何に使用されるのですか?
ここにデジタル証明書を使用するアプリケーションの例をいくつか挙げます。
| • | Web セッション : Web サイトは頻繁に Secure Sockets Layer (英語情報) プロトコルを使用します。これにより、訪問者に対し Web サイトが意図される本来の Web サイトであることを証明し、その後の Web セッションを暗号化します。 |
| • | 電子メール : 多くの電子メール クライアントは、デジタル証明書を使用して電子メールの発信元と信頼性を証明するプロトコルである S/MIME (英語情報) をサポートします。 |
| • | コード署名 : マイクロソフトのプラットフォームは Authenticode (英語情報) をサポートします。Authenticode とはソフトウェア開発者が、自分が作成者であることを証明し、そのプログラムが変更されていないことを示すために、自分のプログラムをデジタル署名することができる技術です。 |
| • | ネットワーク セッション : 多くの企業が、ネットワーク セッションを暗号化し、ネットワーク参加者が通信を行っている相手が誰であるかを確実に分かるようにすることにより、ネットワーク セッションを保護するために IPSEC (英語情報) を使用しています。 |
デジタル証明書をサポートするための機能はどのように実装されているのですか?
アプリケーションはデジタル証明書のサポートを次のいずれかの方法で実装します。Windows で実行されているものは通常、CryptoAPI (英語情報) を活用します。CryptoAPI とは Windows に組み込まれた機能のセットで、暗号、解読、デジタル証明書の処理、そのほかのタスクのためのサポートを提供します。そのほかのオペレーティング システムで実行されているものは通常、独自に暗号化機能を実装する必要があります。つまり、アプリケーション自体の中に実装する必要があります。
この場合の脆弱性が存在するのは CryptoAPI ですか、それとも特定の製品独自の実装内ですか?
両方にこの脆弱性が存在します。CryptoAPI の実装はこの脆弱性の影響を受けます。このため CryptoAPI を使用するすべてのアプリケーション (マイクロソフトまたはサードパーティにより作成されたものでも) が影響を受けます。しかし、Macintosh (独自の暗号化の実装を提供します。) で実行されているいくつかのマイクロソフトのアプリケーションにも同じ脆弱性が含まれます。
影響を受ける製品でデジタル証明書が確認される方法の何が問題になっていますか?
影響を受ける製品が、デジタル証明書を確認する時に、特定のフィールド、つまり基本制限をチェックしないためにこの脆弱性が発生します。上記で説明したように、デジタル証明書の目的の 1 つは、その証明書を発行した CA がその使用方法を規制できるようにすることです。基本制限フィールドはこれが行われるために用いられるものの 1 つです。
基本制限フィールドにより CA (証明機関) は 2 つの重要な情報を示すことができます。その情報とは、証明書が CA として機能する権利を認められているか (これにより、追加の下位証明書を発行することができるか)、また証明書の信頼チェーンの長さです。影響を受ける製品はこのフィールドをチェックしないため、これらの制限を適用しません。
これにより、なぜセキュリティ上の脆弱性が発生するのですか?
上記で説明したように、CA がデジタル証明書を発行する時、証明書の信頼性と所有者の身元を証明します。この問題がセキュリティ上の脆弱性を発生させる理由は、この問題により、デジタル証明書をある CA から発行された攻撃者は CA が追加の証明書を発行する権利を攻撃者に委任したと主張することができる可能性があるためです。攻撃者の主張するこれらの証明書の正当性は、CA 自体と同じ効力を持ちます。
この脆弱性により攻撃者は何ができますか?
この脆弱性により、攻撃者は偽であるにも関わらず、検証を通過するデジタル証明書を作成することができる可能性があります。悪用方法により、次のように様々な攻撃が行われる可能性があります。
| • | 訪問者に機密情報を入力させる目的で、異なる Web サイトを偽装する Web サイトを作成する |
| • | 実際の送信者以外の人物により送信されたことを証明するデジタル証明を持つ電子メールを送信する。 |
| • | 認証として、偽のデジタル証明書を提供することにより、別のユーザーを偽装する。 |
| • | ユーザーに実行しても安全であると思い込ませるために、信頼されるユーザーまたは企業を偽装し、危険なプログラムにデジタル署名を行う。 |
これらの攻撃の影響度は使用環境により、ある程度変わってくることを理解しておくべきです。各シナリオの詳細は以下で説明しますが、その前に攻撃者が、これらの攻撃を行うにあたっての障害となるすべてのシナリオに共通した 3 つの事柄を挙げます。
| • | 攻撃者のデジタル証明書はユーザーが信頼する CA により発行されることが必要条件となります。警告メッセージを表示しない偽の証明書が作成されると、このときから攻撃者によりこの脆弱性が悪用される可能性がありますが、攻撃者の証明書を発行した CA が信頼されてない場合、警告が表示されます。 |
| • | 偽の証明書は攻撃者の持つ証明書と同じ制限を受けます。つまり、偽の SSL サーバー証明書を作成するためには、攻撃者は有効な SSL サーバー証明書が必要となります。偽の Authenticode 証明書を作成するためには、攻撃者は有効な Authenticode 証明書が必要となります。有効な証明書を取得するには、攻撃者は後に法の執行の際に使用される可能性もある身元の証明を提供する必要がある場合もあります。 |
| • | ユーザーは常に証明書の真偽を確認することができます。デジタル証明書を使用するマイクロソフトの各アプリケーションは証明書を表示する方法を提供しています。真偽を確認するユーザーは証明書チェーンが通常とは異なり、証明書発行元が聞きなれない名前であり、CA とは関連していないということに気づくでしょう。 |
攻撃者はどのようにこの脆弱性を悪用し、信頼される Web サイトを偽装するのですか?
攻撃者はユーザーが信頼しそうな E コマース サイトを選択し、正当な E コマース サイトであるように見えるWeb サイトを作成し、次に偽の SSL サーバー証明書を作成する可能性があります。ユーザーが攻撃者の Web サイトを訪問した場合、その証明書により有効な SSL セッションがセット アップされ、正当な E コマース サイトであることが 「確認」 されます。そしてユーザーはクレジット カードの番号などの機密情報を攻撃者の Web サイトに入力する可能性があります。
攻撃者がこのシナリオを達成する際の主要な障害は、この脆弱性を悪用しても、攻撃者の Web サイトを別のサイトであると思い込ませることが可能であることだけで、ユーザーを実際に攻撃者の Web サイトを訪れるよう誘導することができないことです。これを行うためには、攻撃者は DNS キャッシュ攻撃などのテクニックを介し、ユーザーが通過するインターネット インフラストラクチャを変更できることが必要条件となります。しかし、このようなテクニックは困難で一時的であり、このような攻撃を行えるネットワーク構成である必要があります。
攻撃者はどのようにこの脆弱性を悪用し、デジタル署名された電子メールを偽装するのですか?
攻撃者は、別のユーザーに属すように見える偽の電子メール署名用の証明書を作成し、これを使用して電子メールをデジタル署名する可能性があります。受信者は、署名に基づき、その電子メールが有効であると判断する可能性があります。
このシナリオの第 1 の問題は、署名を有効にするために、電子メールの 「差出人」 アドレスが証明書に記載されているものと一致する必要があるという点です。つまり、ボブとして署名を行いたい攻撃者はボブの電子メール アドレスの記載されている証明書を作成し、「差出人」 アドレスにボブのアドレスを使用する必要があります。ほとんどの場合、その電子メールに返信すると、それは攻撃者ではなくボブに送信されます。そしてボブは何者かが自分の署名を偽装していることに気づきます。攻撃者は電子メールのフィールドを操作し、ボブに送信されないようにする可能性がありますが、これ自体が何かが進行中であることの徴候となります。いずれの場合も、受信者は比較的簡単に攻撃者の偽の証明書のコピーをボブに渡し、ボブはその証明書を失効させるか、または警察に届け出るでしょう。
攻撃者はどのようにこの脆弱性を悪用し、証明書ベースの認証を偽装するのですか?
このシナリオは非常に変則的な場合に当てはまります。たとえば、SSL 相互認証がネットワーク リソースへのアクセスを仲介するために使用されている場合などです。このようなシステムに対し攻撃を行うためには、攻撃者は別のユーザー (管理者やそのかの特権を持つユーザー) の名前で偽の証明書を生成することが必要条件となります。次にその証明書を使用してそのユーザーとして認証を行い、そのユーザーの権限を取得する可能性があります。
この攻撃を行うにあたって主に 2 つの障害があります。まず、このようなシナリオは通常、公開鍵基盤が展開されている企業ネットワークに見られます。このような場合、攻撃者は単に商業的な CA から証明書を購入することはできません。その代わり、企業のローカル CA から証明書を取得します。これを行うためには、攻撃者はすでに正当な企業ネットワーク ユーザーであることが必要条件となります。次に、このようなシステムは通常証明書内にローカル CA により保存されたデータを使用しユーザーの権限を裁定します。正しいデータ、正しい形式を決定するためには重要な内部知識が必要となります。
攻撃者はどのようにこの脆弱性を悪用し、Authenticode 署名を偽装するのですか?
1 つシナリオを説明します。攻撃者は悪質なタスクを実行する ActiveX コントロールを作成し、次に幅広く信頼されている企業に属すように見える Authenticode デジタル証明書を作成する可能性があります。偽の証明書を使用し、Active X コントロールにデジタル署名をした後、攻撃者はそのコントロールを自分が管理する Web サイトにホストし、ユーザーがその Web サイトを訪問する時にコントロールを実行させる可能性があります。
このシナリオでの攻撃者にとっての問題は、マイクロソフトが知る限り、このような攻撃に使用できる商業的な CA の Authenticode 証明書は存在しないという点です。この理由はこれらの CA は各自の証明書にポリシー情報を含め、この結果 CryptoAPI が基本制限フィールドを再検査し、正しく処理することです。これらの証明書内の基本制限フィールド情報は証明書を使用して追加の証明書を発行することを許可しません。この結果、このシナリオは公開鍵基盤を展開し、商業的な CA のものほど厳密に定義されていない Authenticode 証明書を発行しており、攻撃者に Authenticode 証明書を発行した企業に限定されます。
このような攻撃で悪用される証明書を発行した商業的な CA があったとしても、ユーザーには警告メッセージが表示されます。Internet Explorer は名前ベースではなく、証明書ごとの信頼を仲介します。つまり、2 つの証明書が全く同じ名前であり、ユーザーが 1 番目の証明書を信頼することに同意した場合、Internet Explorer は 2 番目の証明書に遭遇した時、もう 1 度警告を表示します。
Windows を実行していますが、実行している各アプリケーションに更新プログラムを適用する必要がありますか?
いいえ。使用している Windows のバージョン用の更新プログラムを適用する必要があるだけです。更新プログラムを適用すると CryptoAPI に存在する脆弱性が排除され、これを使用しているすべてのアプリケーションもまた安全になります。
上記に挙げられた Macintosh 用のマイクロソフト製品をいくつか実行していますが、各製品に更新プログラムを適用する必要がありますか?
はい。Macintosh は CryptoAPI を提供していません。このため各アプリケーションは各々の暗号化処理を実装する必要があります。結果として、影響を受ける製品の一覧にあげられた各 Macintosh 用のマイクロソフト製品に個別に更新プログラムがあります。
開発者ですが、開発した製品は CryptoAPI を使用しています。何かする必要がありますか?
いいえ。更新プログラムがシステムに適用されると、CryptoAPI 自体に存在する問題が排除されます。また、暗号サービスを CryptoAPI に依存するすべてのアプリケーションに存在する問題も排除されます。
この更新プログラムはどのようにしてこの脆弱性を解決しますか?
この更新プログラムは、基本制限フィールドの拡張機能にある CA 値が TRUE に設定されていない限り、中間証明書が証明機関として処理されないようにします。さらに、この更新プログラムは KeyUsage 拡張機能が証明書に含まれる鍵の使用法を定義 (または制限) する keyCertSign の値を含むようにします。
この脆弱性の変種によって何が起こる可能性がありますか?
この脆弱性により、攻撃者にユーザーのマシンの完全な制御を取得される恐れがあります。これにより、攻撃者にプログラムの実行、Web サイトとの通信、ハード ドライブの再フォーマットなど、正規のユーザーが実行できるすべての操作を実行される可能性があります。
この脆弱性と元の脆弱性とどのような関連性がありますか?
この脆弱性は、元の脆弱性と深く関わっています。両方ともデジタル証明書の認証方法および使用方法にある問題に関連しています。これらの主な違いは、これらの脆弱性が悪用された場合に、攻撃者が実行する可能性がある操作にあります。また、この脆弱性の変種は、Windows NT 4.0 および Windows 98 のみに影響を及ぼすという点が異なります。
これが認証の検証に関連する脆弱性であるならば、なぜこの問題を個別に説明するのですか?
マイクロソフトは、元のバージョンの更新プログラムをリリースした直後にこの脆弱性を確認し、それは前の脆弱性と類似性はあるが、元の更新プログラムでは排除されない脆弱性であることを確認しました。マイクロソフトは、お客様がこの更新プログラムの新しいバージョンをインストールする必要性を理解していただけるように、この問題を個別に説明しています。
Microsoft Windows オペレーティングシステムで、新たに確認された変種の影響を受けるのはどのバージョンですか?
以下のバージョンの Windows オペレーティング システムが新たに確認された変種の影響を受けます。
| • | Microsoft Windows 98 |
| • | Microsoft Windows 98 Second Edition |
| • | Microsoft Windows NT 4.0 |
| • | Microsoft Windows NT 4.0, Terminal Server Edition |
元のバージョンと新たな変種の攻撃シナリオには違いがありますか?
いいえ、ありません。攻撃のシナリオは非常に類似しています。
このセキュリティ問題の影響を受ける Mac 製品を使用しています。更新プログラムを再度適用する必要がありますか?
いいえ、必要ありません。Mac 製品は新たに確認された元の脆弱性の変種による影響を受けません。既に Mac 製品に更新プログラムを適用されたお客様は、再度適用する必要はありません。
