Microsoft セキュリティ アドバイザリ 3033929

公開日: 2015 年 3 月 10 日

バージョン: 1.0

Microsoft は、SHA-2 署名と検証機能のサポートを追加するために、サポートされているすべてのエディションの Windows 7 および Windows Server 2008 R2 の更新プログラムの再発行を発表しています。 この更新プログラムは、インストール後に一部のお客様が経験した問題に対処するために、2014 年 10 月 17 日に取り消された2949927更新プログラムよりも優先されます。 元のリリースと同様に、SHA-2 の署名と検証機能は既にこれらのオペレーティング システムに含まれているため、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1 では、この更新プログラムは必要ありません。 この更新プログラムは、Windows Server 2003、Windows Vista、または Windows Server 2008 では使用できません。

推奨。 自動更新を有効にして、Microsoft Update から更新プログラムをオンラインでチェックするように構成されているお客様は、通常、このセキュリティ更新プログラムが自動的にダウンロードおよびインストールされるため、何も行う必要はありません。 自動更新を有効にしていないお客様は、更新プログラムをチェックし、この更新プログラムを手動でインストールする必要があります。 自動更新の特定の構成オプションについては、マイクロソフト サポート技術情報の記事294871を参照してください。

更新プログラムを手動でインストールする場合 (自動更新を有効にしていないお客様を含む)、Microsoft では、更新管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックして、できるだけ早い機会に更新プログラムを適用することをお勧めします。 更新プログラムは、このアドバイザリの影響を受けるソフトウェアテーブルのダウンロード リンクからも入手できます。

この問題の詳細については、次のリファレンスを参照してください。

このアドバイザリでは、次のソフトウェアについて説明します。

^[1]3033929更新プログラムは、MS15-025 を介して同時にリリースされる3035131更新プログラムと共通する影響を受けるバイナリです。 更新プログラムを手動でダウンロードしてインストールし、両方の更新プログラムをインストールする予定のお客様は、3033929更新プログラムをインストールする前に、3035131更新プログラムをインストールする必要があります。 詳細については、アドバイザリに関する FAQ を参照してください。

アドバイザリの範囲は何ですか?
このアドバイザリの目的は、サポートされているすべてのエディションの Windows 7 および Windows Server 2008 R2 に SHA-2 ハッシュ アルゴリズムの機能を追加する更新プログラムをお客様に通知することです。

**これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ですか? **
いいえ。 SHA-1 に代わる署名メカニズムはしばらくの間使用でき、署名の目的でハッシュ アルゴリズムとして SHA-1 を使用することは推奨されておらず、ベスト プラクティスではなくなりました。 Microsoft では、代わりに SHA-2 ハッシュ アルゴリズムを使用することをお勧めします。この更新プログラムをリリースして、お客様がより安全な SHA-2 ハッシュ アルゴリズムにデジタル証明書キーを移行できるようにします。

**SHA-1 ハッシュ アルゴリズムの問題の原因は何ですか? 
**問題の根本原因は、SHA-1 ハッシュ アルゴリズムの既知の弱点であり、衝突攻撃にさらされています。 このような攻撃により、攻撃者は元の証明書と同じデジタル署名を持つ追加の証明書を生成する可能性があります。 これらの問題はよく理解されており、これらの攻撃に対する抵抗を必要とする特定の目的で SHA-1 証明書を使用することはお勧めしません。 Microsoft では、セキュリティ開発ライフサイクルでは、Microsoft ソフトウェアの既定の機能として SHA-1 ハッシュ アルゴリズムを使用しなくなりました。 詳細については、 Microsoft セキュリティ アドバイザリ 2880823 と Windows PKI ブログ エントリ 「SHA1 Deprecation Policy」を参照してください。

更新プログラムは何を行いますか?
この更新プログラムは、影響を受けるオペレーティング システムに SHA-2 ハッシュ アルゴリズムの署名と検証のサポートを追加します。これには、次のものが含まれます。

• キャビネット ファイルでの複数の署名の サポート
• Windows PE ファイルの複数の署名の サポート
• 複数のデジタル署名の表示を有効にする UI の変更
• カーネル内の署名を検証するコード整合性コンポーネントにRFC3161タイムスタンプを検証する機能
• CertIsStrongHashToSign、CryptCAT管理AcquireContext2、CryptCAT管理CalcHashFromFileHandle2 など、さまざまな API のサポート

セキュア ハッシュ アルゴリズム (SHA-1) とは
セキュア ハッシュ アルゴリズム (SHA) は、デジタル署名アルゴリズム (DSA) またはデジタル署名標準 (DSS) で使用するために開発され、160 ビットのハッシュ値を生成します。 SHA-1 には、衝突攻撃にさらされる既知の弱点があります。 このような攻撃により、攻撃者は元の証明書と同じデジタル署名を持つ追加の証明書を生成する可能性があります。 SHA-1 の詳細については、「ハッシュアルゴリズムと署名アルゴリズム」を参照してください。

RFC3161とは
RFC3161は、タイム スタンプ機関 (TSA) に対する要求と応答の形式を記述するインターネット X.509 公開キー 基盤タイム スタンプ プロトコル (TSP) を定義します。 TSA は、公開キー証明書の有効期間中にデジタル署名が生成されたことを証明するために使用できます。X.509 公開キー インフラストラクチャを参照してください。

デジタル証明書とは
公開キー暗号化では、秘密キーと呼ばれるいずれかのキーを秘密にしておく必要があります。 公開キーと呼ばれるもう 1 つのキーは、世界と共有することを目的としています。 ただし、キーの所有者が、キーが属するユーザーを世界に伝える方法が必要です。 デジタル証明書は、これを行う方法を提供します。 デジタル証明書は、個人、組織、およびコンピューターのオンライン ID を認定するために使用される電子資格情報です。 デジタル証明書には、公開キーとその情報 (だれが所有するか、何に使用できるか、期限切れになったときなど) と共にパッケージ化された公開キーが含まれています。 詳細については、「公開キー暗号化とデジタル証明書について」を参照してください。

デジタル証明書の目的は何ですか?
デジタル証明書は、主に個人またはデバイスの ID の検証、サービスの認証、またはファイルの暗号化に使用されます。 通常、証明書の有効期限が切れているか無効であることを示す不定期のメッセージを除いて、証明書についてまったく考慮する必要はありません。 このような場合は、メッセージに記載されている手順に従う必要があります。

この更新プログラム (3033929) は、MS15-025 で説明されている3035131更新プログラムとどのように関連していますか?
この更新プログラム (3033929) は、影響を受けるバイナリを、MS15-025 経由で同時にリリースされる3035131更新プログラムと共有します。 この重複により、一方の更新プログラムがもう一方の更新プログラムよりも優先され、この場合、アドバイザリ更新プログラム3033929更新プログラム3035131が優先されます。 自動更新が有効になっているお客様には、通常とは異なるインストール動作は発生しません。両方の更新プログラムが自動的にインストールされ、両方がインストールされている更新プログラムの一覧に表示されます。 ただし、更新プログラムを手動でダウンロードしてインストールするお客様の場合、更新プログラムをインストールする順序によって、観察される動作が次のように決まります。

シナリオ 1 (推奨): お客様は最初に更新プログラム3035131をインストールしてから、アドバイザリ更新プログラムの3033929をインストールします。
結果: 両方の更新プログラムが正常にインストールされ、両方の更新プログラムがインストールされている更新プログラムの一覧に表示されます。 
 

シナリオ 2: お客様は、最初にアドバイザリ更新プログラム3033929をインストールしてから、更新プログラム3035131のインストールを試みます。
結果: インストーラーは、3035131更新プログラムが既にシステムにインストールされていることをユーザーに通知します。3035131更新プログラムは、インストールされている更新プログラムの一覧には追加されません。

• Microsoft Windows のサポートされているリリースの更新プログラムを適用する

  ほとんどのお客様は自動更新を有効にしており、更新プログラムが自動的にダウンロードされてインストールされるため、何も行う必要はありません。 自動更新を有効にしていないお客様は、更新プログラムをチェックし、この更新プログラムを手動でインストールする必要があります。 自動更新の特定の構成オプションについては、マイクロソフト サポート技術情報の記事294871を参照してください。

  管理者と企業のインストール、またはこのセキュリティ更新プログラムを手動でインストールするエンド ユーザー (自動更新を有効にしていないお客様を含む) の場合は、更新管理ソフトウェアを使用するか、Microsoft Update サービスを使用して更新プログラムをチェックして更新プログラムを適用することをお勧めします。 更新プログラムは、このアドバイザリの影響を受けるソフトウェアテーブルのダウンロード リンクからも入手できます。

• PC を保護する

  ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 詳細については、「Microsoft セーフty & Security Center」を参照してください。

• Microsoft ソフトウェアを最新の状態に保つ

  Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新を有効にして、Microsoft 製品の更新プログラムを提供するように構成している場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。

お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトを参照してください。

• Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。

• 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください。
• 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
• Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

• V1.0 (2015 年 3 月 10 日): アドバイザリが公開されました。

Page generated 2015-03-04 14:52Z-08:00.