[IT 管理者向け] TLS 1.2 への移行を推奨しています

こんにちは、垣内由梨香です   データを暗号化し安全にやり取りを行う Transport Layer Security (TLS)。TLS は利用しているが、詳細なバージョンまでは把握してない、そんな方も多いのではないでしょうか?暗号プロトコルは「使ってさえいれば安全」ではありません。現在の脅威に対応できるバージョンのみを利用しリスクを下げることが重要です。 マイクロソフトでは、より安全な TLS 1.2 へ移行していくことを推奨しています。


SHA-1 ウェブサーバー証明書は警告!ウェブサイト管理者は影響の最終確認を

こんにちは、村木ゆりかです。
以前よりマイクロソフト セキュリティ アドバイザリ 2880823、そして、このブログでもご案内しているとおり、証明書に利用されているハッシュ アルゴリズム SHA-1 の安全性の低下に伴い、利用廃止が進められています。
マイクロソフトでは、2017 年 2 月 14 日 (米国時間) より、SHA-1 の TLS サーバー証明書を利用するウェブサイトを、Microsoft Edge および Internet Explorer 11 で閲覧した場合、信頼しないサイトとして警告を表示します。
インターネットに公開しているウェブサーバーの管理者は、自サイトが 2017 年 2 月 14 日以降信頼しないサイトとして表示されないように、いまいちど確認ををお願いいたします。


SHA-1 廃止に関するロードマップの最新情報

2015 年 11 月、SHA-1 で署名した TLS 証明書をブロックする日程の当初の詳細も含めた SHA-1 廃止の情報について公開しました。ここでは、さらに詳細な内容について説明します。


Windows 10: パスワード、スマート カード、そして Windows Hello + Microsoft Passport。それぞれの違いを理解しよう (1)

こんにちは、村木ゆりかです。   Windows 10 の新たな認証機能である Windows Hello と Microsoft Passport。「新たな認証方式」「パスワードとはお別れ!」と耳にした方も多いかと思います。企業 IT としては、AzureAD + Windows 10 で利用可能で、Windows Server 2016 Technical Preview でのサポートも始まっています。 なんとなく、これまでのパスワードの問題を解消する新しい認証方式だということは分かったけど、まだモヤモヤしている方もいらっしゃいませんか?これまで Active Directory で利用されてきたIDとパスワードを使ったケルベロス認証との違いは? スマートカードの認証とは違うの? っていうか、そもそもなんで新しい認証方式必要なの?   IT 管理者の皆さんは、これから展開を検討する、あるいは既に展開を始めているけれど運用にあたってトラブル シュートなども必要になってくるため、認証のしくみや違いがスッキリしていないと不安だったり、検討に踏み込んだりしにくいかと思います。 今回は、企業 IT における Windows Hello + Microsoft Passport がどのようなものになるのか、どのようにセキュリティ脅威に立ち向かえるのか、これまでの Active Directory での認証方式をおさらいしながら違いを紹介します。まず、今回は、Windows Hello と Microsoft Passport の関係性を整理し、概要をスッキリさせましょう。   Windows Hello で生体認証 Windows Hello は生体認証のことです。指紋、顔、虹彩によって認証を行うことができます。Windows…


セキュリティ アドバイザリ 3050995「不適切に発行されたデジタル証明書により、なりすましが行われる」を公開

2015 年 3 月 25 日、セキュリティ アドバイザリ 3050995「不適切に発行されたデジタル証明書により、なりすましが行われる」を公開しました。 (日本語サイトは現在準備中です。準備ができ次第公開いたします) 3/26 更新:日本語サイトを公開いたしました   概要 証明機関から発行されるデジタル証明書は、Web サイトが正規のサイトであることを確認するために利用されます。不適切に発行されたデジタル証明書は、なりすまし、フィッシング、または中間者攻撃に悪用される可能性があります。マイクロソフトでは、証明機関と提携し、信頼される証明書および信頼できない不正な証明書の更新を行っています。今回、デジタル証明書の悪用からお客様を保護するために、マイクロソフトは証明書信頼リスト (CTL) を更新し不正な証明書の信頼を排除する更新を行いました。  今回、不正に発行されたのは、MCS Holdings 中間証明機関が発行した証明書です。MCS Holdings は、China Internet Network Information Center (CNNIC) をルート証明機関に持つ、中間証明機関です。不正な証明書の信頼を排除するために、以下の証明書の信頼を排除する更新を行いました。   証明書 発行元 拇印 MCSHOLDING TEST CNNIC ROOT e1 f3 59 1e 76 98 65 c4 e4 47 ac c3 7e af c9 e2 bf e4 c5…


セキュリティ アドバイザリ 3046310「不適切に発行されたデジタル証明書により、なりすましが行われる」を公開

2015 年 3 月 17 日、セキュリティ アドバイザリ 3046310「不適切に発行されたデジタル証明書により、なりすましが行われる」を公開しました。 (2015/03/17 16:15: 日本語サイトを公開しました。) 概要 証明機関から発行されるデジタル証明書は、Web サイトが正規のサイトであることを確認するために利用されます。不適切に発行されたデジタル証明書は、なりすまし、フィッシング、または中間者攻撃に悪用される可能性があります。マイクロソフトでは、証明機関と提携し、信頼される証明書および信頼できない不正な証明書の更新を行っています。今回、デジタル証明書の悪用からお客様を保護するために、マイクロソフトは証明書信頼リスト (CTL) を更新し不正な証明書の信頼を排除する更新を行いました。  今回、排除を行った証明書は、live.fi ドメイン用に不正に発行された証明書です。 証明書 発行者 拇印 www.live.fi COMODO RSA Domain Validation Secure Serve CA ‎08 e4 98 72 49 bc 45 07 48 a4 a7 81 33 cb f0 41 a3 51 00 33   なお、マイクロソフトは現在、この問題に関連した攻撃を確認していません。  影響を受ける製品および回避策の展開方法など、詳細についてはセキュリティ アドバイザリ 3046310 を参照してください。  …


セキュリティ アドバイザリ 2982792「不適切に発行されたデジタル証明書により、なりすましが行われる」を公開

変更履歴 2014/7/11 16:14: セキュリティ アドバイザリ 2982792 の日本語ページを公開しました。 2014/7/22: 2014/7/18 にサポートされているエディションの Windows Server 2003 用の更新プログラム 2982792 が利用可能になりました。 2014 年 7 月 11日、セキュリティ アドバイザリ 2982792「不適切に発行されたデジタル証明書により、なりすましが行われる」を公開しました。 デジタル証明書は、Web サイトが正規のサイトであることを確認するために利用されます。不適切に発行されたデジタル証明書は、なりすまし、フィッシング、または中間者攻撃に悪用される可能性があります。このデジタル証明書の悪用からお客様を保護するために、マイクロソフトは証明書信頼リスト (CTL) を更新し不正な証明書の信頼を排除する更新を行いました。 なお、マイクロソフトは現在、この問題に関連した攻撃を確認していません。 影響を受ける製品および回避策の展開方法など、詳細についてはセキュリティ アドバイザリ 2982792 を参照してください。   推奨するアクション Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2においては、証明書の自動更新ツールが既定で実装されており、自動的に保護が行われるので、措置を講じる必要はありません。 Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 において、証明書の自動更新ツール(サポート技術情報 2677070)を利用している場合、自動的に保護が行われるので、措置を講じる必要はありません。証明書の自動更新ツールを利用していない環境への更新プログラムの提供はありません。非インターネット環境など、自動更新ツールを利用できない環境を利用している場合は、非接続環境用の構成 (サポート技術情報…