編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

マイクロソフト、「Windows」のセキュリティアップデートをリリース--暗号化機能の脆弱性を修正

Catalin Cimpanu (ZDNet.com) 翻訳校正: 編集部

2020-01-15 07:34

 Microsoftは米国時間1月14日、複数の「Windows」OSに見つかった「広範囲にわたる暗号化機能の脆弱性」を修正するセキュリティアップデートをリリースした。

キャプション
Windows

 Microsoftでは、この脆弱性の影響を受けるのは「Windows 10」「Windows Server 2019」「Windows Server 2016」の各OSとしている。

 この脆弱性を発見して報告したのが米国家安全保障局(NSA)であったことを、NSAのサイバーセキュリティ担当ディレクターを務めるAnne Neuberger氏が14日、報道陣らとの電話会議の中で明らかにした。

 CVE-2020-0601という識別番号が付与されたこの脆弱性は、暗号化を処理するWindows OSの中核的要素である「Windows CryptoAPI」に関連するもの。

 14日に公開されたセキュリティアドバイザリによると、「Windows CryptoAPI(Crypt32.dll)が楕円曲線暗号(ECC)の証明書を検証する方法に、偽装を可能にする脆弱性が存在する」という。

 この脆弱性を利用することにより、「悪意ある実行可能ファイルに署名し、そのファイルを信頼できる合法的な発行元からのものであるように見せかけること」が可能だと、Microsoftは述べている。

 また、ファイル署名の偽装以外に、この脆弱性を利用することによって、暗号化通信に使用されるデジタル証明書の偽装も可能だという。

 「(この脆弱性を)うまく利用すれば、中間者攻撃を仕掛けて、感染したソフトウェアへの接続にユーザーが使用した機密情報を解読できる可能性もある」ともMicrosoftは説明している。

 なお、MicrosoftならびにNSAによると、この脆弱性を悪用した攻撃は14日のパッチリリース時点では確認されていないという。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]