マイクロソフト セキュリティ アドバイザリ 3123040 : 不注意で公開されたデジタル証明書により、なりすましが行われる
*.xboxlive.com の SSL/TLS デジタル証明書が不注意で公開されてしまいました。中間者攻撃の実行に使用される恐れがあります。現在、未だ Microsoft社では悪用された形跡は見られないとのことです。
概要
マイクロソフトでは、秘密キーが不注意で公開された *.xboxlive.com の SSL/TLS デジタル証明書を確認しています。この証明書は、中間者攻撃の実行に使用される可能性があります。この証明書が、その他の証明書の発行、ドメインのなりすまし、またはサインコードに使用されることはありません。この問題は、すべてのサポートされているリリースの Microsoft Windows に影響を及ぼします。マイクロソフトは現在、この問題に関連した攻撃を確認していません。
SSL/TLS デジタル証明書の悪用からお客様を保護するため、この証明書は無効と判断されました。また、マイクロソフトは証明書信頼リスト (CTL) を更新し、すべてのサポートされているリリースの Microsoft Windows 向けにこの証明書を信頼から除外しました。この証明書に関する詳細については、このアドバイザリの「よく寄せられる質問」のセクションを参照してください。 推奨する対応策: 証明書信頼リストの自動更新ツールは、サポートされているエディションの Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2、Windows 10 および Windows 10 バージョン 1511 および Windows Phone 8、Windows Phone 8.1、および Windows 10 Mobile を実行しているデバイスに搭載されています。これらのオペレーティング システムおよびデバイスは自動的に保護されるため、特別な措置を講じる必要はありません。
Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 を実行しており、証明書信頼リストの自動更新ツールを使用しているシステム (詳細についてはサポート技術情報 2677070 を参照) は自動的に保護されるため、特別な措置を講じる必要はありません。
V1.0 (2015/12/09):このアドバイザリを公開しました。
Microsoft Security Advisory 3123040
Revised on 15 Dec. 2015
Issued by Volitional Engineering
( winveg.com ) on 09 Dec. 2015
