公開日:2012/06/05 最終更新日:2015/10/21

JVNTA12-156A
Microsoft Windows における証明書に関する問題
緊急

概要

マイクロソフト ターミナル サービス ライセンス証明機関 (CA) により発行された X.509 デジタル証明書がコード署名に使われていることが、マルウエア "Flame" の解析において発見されました。

Mircosoft は、問題となる証明書を無効にするアップデートを公開しました。

影響を受けるシステム

Microsoft がサポートしている全ての Windows 製品が影響を受けます。

詳しくは、Microsoft が提供する情報をご確認ください。

詳細情報

マイクロソフト ターミナル サービス ライセンス証明機関 (CA) により発行された X.509 デジタル証明書がコード署名に使われていることが、マルウエア "Flame" の解析において発見されました。

MSRC blog では、次のように述べられています。

"We identified that an older cryptography algorithm could be exploited and then be used to sign code as if it originated from Microsoft. Specifically, our Terminal Server Licensing Service, which allowed customers to authorize Remote Desktop services in their enterprise, used that older algorithm and provided certificates with the ability to sign code, thus permitting code to be signed as if it came from Microsoft."

また、Security Research & Defense blog では、次のように述べられています。

"What we found is that certificates issued by our Terminal Services licensing certification authority, which are intended to only be used for license server verification, could also be used to sign code as Microsoft. Specifically, when an enterprise customer requests a Terminal Services activation license, the certificate issued by Microsoft in response to the request allows code signing without accessing Microsoft’s internal PKI infrastructure."

問題となる証明書は、次の通りです。詳細は、Security Research & Defense blog で提供されています。

Certificate: Microsoft Enforced Licensing Intermediate PCA
Issued by: Microsoft Root Authority
Thumbprint: 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70

Certificate: Microsoft Enforced Licensing Intermediate PCA
Issued by: Microsoft Root Authority
Thumbprint: 3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08

Certificate: Microsoft Enforced Licensing Registration Authority CA (SHA1)
Issued by: Microsoft Root Certificate Authority
Thumbprint: fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97

想定される影響

Microsoft が署名したように見せかけたコード署名が行われる可能性があります。

Microsoft によると、Flame のいくつかのコンポーネントがマイクロソフト製品かのように見える署名がされていることを確認しているとのことです。

対策方法

影響を受ける証明書を無効にする
以下のいずれかを適用することで、証明書を無効にしてください。

ベンダ情報

ベンダ リンク
Microsoft マイクロソフト セキュリティ アドバイザリ (2718704) -- 承認されていないデジタル証明書により、なりすましが行われる
Microsoft Security Advisory (2718704) -- Unauthorized Digital Certificates Could Allow Spoofing
TechNet Blogs > 日本のセキュリティチーム > 承認されていない証明書に関するアドバイザリ 2718704 を公開
TechNet Blogs > MSRC > Microsoft releases Security Advisory 2718704
Microsoft certification authority signing certificates added to the Untrusted Certificate Store
Microsoft Update
Microsoft Windows Server Update Services (WSUS)
富士通 TA12-156Aに対する富士通の情報

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2012.06.05における脆弱性分析結果  緊急

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運 (条件が揃う確率は中程度) が必要
  • 低 - 中

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory TA12-156A
Microsoft Windows Unauthorized Digital Certificates
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2012/06/06
概要情報、詳細情報、対策方法を修正しました。
2012/06/12
ベンダ情報に富士通のリンクを追加しました。
2015/10/21
ベンダ情報を更新しました