マイクロソフト、「Windows」のセキュリティアップデートをリリース--暗号化機能の脆弱性を修正

Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部

2020-01-15 07:34

 Microsoftは米国時間1月14日、複数の「Windows」OSに見つかった「広範囲にわたる暗号化機能の脆弱性」を修正するセキュリティアップデートをリリースした。

キャプション
Windows

 Microsoftでは、この脆弱性の影響を受けるのは「Windows 10」「Windows Server 2019」「Windows Server 2016」の各OSとしている。

 この脆弱性を発見して報告したのが米国家安全保障局(NSA)であったことを、NSAのサイバーセキュリティ担当ディレクターを務めるAnne Neuberger氏が14日、報道陣らとの電話会議の中で明らかにした。

 CVE-2020-0601という識別番号が付与されたこの脆弱性は、暗号化を処理するWindows OSの中核的要素である「Windows CryptoAPI」に関連するもの。

 14日に公開されたセキュリティアドバイザリによると、「Windows CryptoAPI(Crypt32.dll)が楕円曲線暗号(ECC)の証明書を検証する方法に、偽装を可能にする脆弱性が存在する」という。

 この脆弱性を利用することにより、「悪意ある実行可能ファイルに署名し、そのファイルを信頼できる合法的な発行元からのものであるように見せかけること」が可能だと、Microsoftは述べている。

 また、ファイル署名の偽装以外に、この脆弱性を利用することによって、暗号化通信に使用されるデジタル証明書の偽装も可能だという。

 「(この脆弱性を)うまく利用すれば、中間者攻撃を仕掛けて、感染したソフトウェアへの接続にユーザーが使用した機密情報を解読できる可能性もある」ともMicrosoftは説明している。

 なお、MicrosoftならびにNSAによると、この脆弱性を悪用した攻撃は14日のパッチリリース時点では確認されていないという。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]