Windows TIPS

［Security］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ 失効した証明書を自動的に無効化する修正プログラムをインストールする → 解説をスキップして操作方法を読む デジタルアドバンテージ　小林 章彦 2012/07/06 対象OS Windows Vista Windows 7 Windows Server 2008 Windows Server 2008 R2

■ オランダのSSL認証局DigiNotarが攻撃を受けて偽SSL証明書が発行されるなど、不正なデジタル証明書の問題が広がっている。 ■ 不正なデジタル証明書は、Windows Updateによる更新プログラムの適用、または手動で失効させる必要がある。 ■ 不正な証明書を自動的に失効させる修正プログラム「KB2677070」をインストールすると手間がかからない。

解説

　オランダのSSL認証局「DigiNotar」に悪意のあるハッカーが不正侵入し、偽のSSL証明書が発行される事件が2011年夏に起きた（＠IT NewsInsight「DigiNotarの不正証明書問題、その影響は」）。その後、マレーシアのSSL認証局が脆弱なデジタル証明書を発行したなど、悪用可能なデジタル証明書が発行される問題が広がっている。

　こうしたデジタル証明書が悪用されると、悪意のあるWebサイトであっても、あたかも正規のデジタル証明書を使った正規のWebサイトのように偽装することができ、ユーザーの個人情報（住所やカード番号など）が窃取されたり、ウイルスを仕込まれたりする可能性がある。

　Windows OSでは、こうした不正なデジタル証明書を無効にする更新プログラムが提供されており、これを適用することで無効にできる（アプリケーションによっては、別途、プログラムのアップデートが必要）。しかし更新プログラムの提供は毎月第2水曜日（日本時間）のため、不正なデジタル証明書が見つかっても、失効されるまで場合によっては1カ月近くの時間がかかってしまうことになる。

無効化されたデジタル証明書の一覧

無効化されたデジタル証明書は、Internet Explorerの［インターネット オプション］の［コンテンツ］タブ−［証明書］をクリックして開く、［証明書］ダイアログの［信頼されない発行元］を見ると確認できる。ここには、2011年9月14日にリリースされた「サポート技術情報 2616676」で無効化されたDigiNotarのデジタル証明書などが一覧表示される。

KB2616676の適用によって無効化されたDigiNotar が発行したデジタル証明書。

　そこでMicrosoftは、デジタル証明書を自動的に更新するツール「更新プログラム（KB2677070）（以下、KB2677070）」の提供を2012年6月13日にWindows Updateで開始している。KB2677070を適用すると、動的にデジタル証明書の失効リストをチェックするようになるため、失効したデジタル証明書は、最長でも1日以内に自動で更新（無効化）されるようになる。

　しかしKB2677070は、適用が必須ともいえる「重要」レベルに位置付けられる重要度では提供されておらず、適用がオプションとなる「推奨」レベルで提供されているため、未だに適用していないユーザーも多いようだ。日本マイクロソフトのセキュリティチームのBlogにおいても、KB2677070を適用することが推奨されている。そこで本稿では、KB2677070が適用済みかどうか確認する方法ならびに適用方法などを紹介する。

• 失効証明書の自動更新処理を有効にする KB2677070 の適用を推奨（マイクロソフト 日本のセキュリティチームのBlog）

操作方法

　KB2677070はWindows Updateで提供されているので、Windows Updateを利用して適用するのが手っ取り早い（企業などでWindows Server Update Servicesなどの更新プログラムの管理ツールを利用している場合は、KB2677070の更新プログラムを適用するように設定すればよい）。［スタート］−［Windows Update］メニューを選択し、Windows Updateを起動する。左ペインの［更新プログラムの確認］をクリックし、「＊個の重要な更新プログラムが利用可能です」または「＊個のオプションの更新プログラムが利用可能です」という表示があれば、その項目をクリックし、「Windows 7 for x64-Based Systems 用更新プログラム (KB2677070)」などの表示（「Windows 7 for x64-Based Systems 用」の部分は適用対象のWindows OSによって異なる）を探して、その項目にチェックを入れる。後は、［OK］ボタンをクリックし、［更新プログラムのインストール］ボタンをクリックする。

Windows Updateの画面

左ペインの［更新プログラムの確認］をクリックし、利用できる更新プログラムの有無を確認する。「＊個の重要な更新プログラムが利用可能です」または「＊個のオプションの更新プログラムが利用可能です」という表示がなされたら、ここをクリックして更新プログラムの内容を確認する。Windows Updateの設定で、［推奨される更新プログラムについても重要な更新プログラムと同様に通知する］がチェックされている場合は「重要な更新プログラム」と表示され、チェックが外れている場合は「オプションの更新プログラムと表示される。

［更新プログラムの確認］をクリックし、利用できる更新プログラムの有無を確認する。 ここをクリックし、適用可能な更新プログラムの内容を確認する。→へ

Windows Updateの［インストールする更新プログラムの選択］画面

ここに「Windows 7 for x64-Based Systems 用更新プログラム (KB2677070)」（Windows OSのバージョンによって表示が異なる）という表示がなされていたら、その項目にチェックを入れる。

KB2677070の更新プログラムにチェックを入れて、適用対象とする。

　Windows Updateの［更新プログラムの確認］で更新プログラム (KB2677070)が一覧に表示されなかった場合は、KB2677070が適用済みと思われるので、念のためWinodws Updateの左ペインの［更新履歴の表示］をクリックし、更新履歴にKB2677070があり、［状態］が「成功」になっていることを確認しておこう。

「最新の状態」と表示された場合のWindows Updateの画面

Windows Updateで「最新の状態」と表示された場合、KB2677070が適用済みの可能性があるので、左ペインの［更新履歴の表示］をクリックして、適用済みかどうかの確認をしよう。

「Windowsは最新の状態です。」と表示された場合は、KB2677070が適用済みの可能性がある。 ［更新履歴の表示］をクリックして、適用済みかどうかの確認を行う。→へ

Windows Updateの［更新履歴の表示］画面

更新プログラムの適用履歴の中から「KB2677070」を探し、［状態］が「成功」になっていることを確認する。

「KB2677070」の適用状態を確認する。

　手動で適用したい場合は、以下のサポート技術情報を開き、適用したいWindows OSに対する修正プログラム（Windows6.1-KB2677070-x86.msuやWindows6.1-KB2677070-x64.msuなど）をダウンロードし、実行すればよい。適用対象のWindows OSごとにパッケージが異なるので注意が必要だ。

• Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 の失効した証明書の自動更新ツールについて（マイクロソフト サポート技術情報）

　いまのところデジタル証明書を悪用した攻撃は広がっていないようだ。しかし標的型攻撃（ターゲット攻撃）などに悪用される可能性もあるので、防衛のためにもKB2677070の更新プログラムを適用し、デジタル証明書を常に最新の状態にしておいた方がよいだろう。

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）