Microsoftは米国時間1月14日、複数の「Windows」OSに見つかった「広範囲にわたる暗号化機能の脆弱性」を修正するセキュリティアップデートをリリースした。
Microsoftでは、この脆弱性の影響を受けるのは「Windows 10」「Windows Server 2019」「Windows Server 2016」の各OSとしている。
この脆弱性を発見して報告したのが米国家安全保障局(NSA)であったことを、NSAのサイバーセキュリティ担当ディレクターを務めるAnne Neuberger氏が14日、報道陣らとの電話会議の中で明らかにした。
CVE-2020-0601という識別番号が付与されたこの脆弱性は、暗号化を処理するWindows OSの中核的要素である「Windows CryptoAPI」に関連するもの。
14日に公開されたセキュリティアドバイザリによると、「Windows CryptoAPI(Crypt32.dll)が楕円曲線暗号(ECC)の証明書を検証する方法に、偽装を可能にする脆弱性が存在する」という。
この脆弱性を利用することにより、「悪意ある実行可能ファイルに署名し、そのファイルを信頼できる合法的な発行元からのものであるように見せかけること」が可能だと、Microsoftは述べている。
また、ファイル署名の偽装以外に、この脆弱性を利用することによって、暗号化通信に使用されるデジタル証明書の偽装も可能だという。
「(この脆弱性を)うまく利用すれば、中間者攻撃を仕掛けて、感染したソフトウェアへの接続にユーザーが使用した機密情報を解読できる可能性もある」ともMicrosoftは説明している。
なお、MicrosoftならびにNSAによると、この脆弱性を悪用した攻撃は14日のパッチリリース時点では確認されていないという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果