Windowsの暗号化機能に致命的な脆弱性、証明書偽装の恐れ ～米国家安全保障局が警告

アメリカ国家安全保障局（NSA）、Windowsの暗号化機能に致命的な脆弱性が存在すると発表

　米国防総省の諜報機関・国家安全保障局（NSA）は1月14日（現地時間）、Windowsの暗号化機能に致命的な脆弱性（CVE-2020-0601）が存在すると発表した。本脆弱性は、事前にMicrosoftへ通知済み。Microsoftによると、同日リリースされた月例のセキュリティ更新プログラムを適用することで問題は解消されるという。

　NSAやMicrosoftなどが発表したセキュリティアドバイザリによると、Windows 10のユーザーモード暗号化ライブラリ「Crypt32.dll」で提供されている“CertGetCertificateChain()”関数には実装の不備があり、楕円曲線暗号（ECC）を利用する証明書を正しく検証できない。そのため、X.509証明書チェーンを偽装できる可能性がある。TLS接続で暗号化された通信の傍受や改竄、Authenticode署名のなりすましなどに悪用される恐れがあるほか、最悪の場合、任意コードの実行につながる可能性がある。

　本脆弱性はクライアント版のWindows 10とWindows 2016以降のサーバーOSに影響する。まだ悪用の報告がないとして、Microsoftはこの脆弱性の深刻度を上から2段階目の“Important”としているが、CERT/CCによると“CVSS”の基本値で“9.4”と評価されており、対策が急がれる。