Microsoftは米国時間1月14日、複数の「Windows」OSに見つかった「広範囲にわたる暗号化機能の脆弱性」を修正するセキュリティアップデートをリリースした。
Microsoftでは、この脆弱性の影響を受けるのは「Windows 10」「Windows Server 2019」「Windows Server 2016」の各OSとしている。
この脆弱性を発見して報告したのが米国家安全保障局(NSA)であったことを、NSAのサイバーセキュリティ担当ディレクターを務めるAnne Neuberger氏が14日、報道陣らとの電話会議の中で明らかにした。
CVE-2020-0601という識別番号が付与されたこの脆弱性は、暗号化を処理するWindows OSの中核的要素である「Windows CryptoAPI」に関連するもの。
14日に公開されたセキュリティアドバイザリによると、「Windows CryptoAPI(Crypt32.dll)が楕円曲線暗号(ECC)の証明書を検証する方法に、偽装を可能にする脆弱性が存在する」という。
この脆弱性を利用することにより、「悪意ある実行可能ファイルに署名し、そのファイルを信頼できる合法的な発行元からのものであるように見せかけること」が可能だと、Microsoftは述べている。
また、ファイル署名の偽装以外に、この脆弱性を利用することによって、暗号化通信に使用されるデジタル証明書の偽装も可能だという。
「(この脆弱性を)うまく利用すれば、中間者攻撃を仕掛けて、感染したソフトウェアへの接続にユーザーが使用した機密情報を解読できる可能性もある」ともMicrosoftは説明している。
なお、MicrosoftならびにNSAによると、この脆弱性を悪用した攻撃は14日のパッチリリース時点では確認されていないという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
脱炭素のために”家”ができること
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
写真で見る「Ai Pin」--手のひらに投影できるウェアラブルAIデバイス 
写真で見るモトローラの「手首に着けるスマホ」コンセプトモデル 
シャオミ初のEV「SU7」、MWCに登場