Microsoftは米国時間1月14日、複数の「Windows」OSに見つかった「広範囲にわたる暗号化機能の脆弱性」を修正するセキュリティアップデートをリリースした。
Windows
Microsoftでは、この脆弱性の影響を受けるのは「Windows 10」「Windows Server 2019」「Windows Server 2016」の各OSとしている。
この脆弱性を発見して報告したのが米国家安全保障局(NSA)であったことを、NSAのサイバーセキュリティ担当ディレクターを務めるAnne Neuberger氏が14日、報道陣らとの電話会議の中で明らかにした。
CVE-2020-0601という識別番号が付与されたこの脆弱性は、暗号化を処理するWindows OSの中核的要素である「Windows CryptoAPI」に関連するもの。
14日に公開されたセキュリティアドバイザリによると、「Windows CryptoAPI(Crypt32.dll)が楕円曲線暗号(ECC)の証明書を検証する方法に、偽装を可能にする脆弱性が存在する」という。
この脆弱性を利用することにより、「悪意ある実行可能ファイルに署名し、そのファイルを信頼できる合法的な発行元からのものであるように見せかけること」が可能だと、Microsoftは述べている。
また、ファイル署名の偽装以外に、この脆弱性を利用することによって、暗号化通信に使用されるデジタル証明書の偽装も可能だという。
「(この脆弱性を)うまく利用すれば、中間者攻撃を仕掛けて、感染したソフトウェアへの接続にユーザーが使用した機密情報を解読できる可能性もある」ともMicrosoftは説明している。
なお、MicrosoftならびにNSAによると、この脆弱性を悪用した攻撃は14日のパッチリリース時点では確認されていないという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。