次の方法で共有

  • [アーティクル]

セキュリティ アドバイザリ

Microsoft セキュリティ アドバイザリ 2743314

カプセル化されていない MS-CHAP v2 認証により、情報漏えいが可能になる

公開日: 2012 年 8 月 20 日

バージョン: 1.0

一般情報

概要

Microsoft は、Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 (MS-CHAP v2) の既知の弱点について、詳細な悪用コードが公開されていることを認識しています。 MS-CHAP v2 プロトコルは、ポイントツーポイント トンネリング プロトコル (PPTP) ベースの VPN の認証方法として広く使用されています。 現時点では、この悪用コードを使用するアクティブな攻撃や、お客様への影響について、Microsoft は認識していません。 Microsoft は、お客様に情報を提供し、必要に応じて顧客ガイダンスを提供するために、この状況を積極的に監視しています。

軽減要因:

  • 唯一の認証方法として MS-CHAP v2 と組み合わせて PPTP に依存する VPN ソリューションのみが、この問題に対して脆弱です。

推奨。 詳細については、 このアドバイザリの「推奨されるアクション」 セクションを参照してください。

アドバイザリの詳細

問題のリファレンス

この問題の詳細については、次のリファレンスを参照してください。

リファレンス [識別]
Microsoft サポート技術情報の記事 2744850

よく寄せられる質問

アドバイザリの範囲は何ですか?
このアドバイザリの目的は、MS-CHAP v2 プロトコルの既知の弱点に関する詳細な悪用コードが公開されたことをお客様に通知することです。 現時点では、この悪用コードを使用するアクティブな攻撃や、お客様への影響について、Microsoft は認識していません。 Microsoft は、お客様に情報を提供し、必要に応じて顧客ガイダンスを提供するために、この状況を積極的に監視しています。

問題の原因は何ですか?
この問題は、MS-CHAP v2 プロトコルの既知の暗号の弱点によって発生します。

攻撃者が弱点を使用して何を行う可能性がありますか?
これらの暗号の弱点を悪用した攻撃者は、ユーザーの資格情報を取得する可能性があります。 その後、これらの資格情報を再利用して攻撃者をネットワーク リソースに対して認証し、攻撃者はそのネットワーク リソースに対してユーザーが実行できる任意のアクションを実行する可能性があります。

攻撃者はどのようにして弱点を悪用する可能性がありますか?
攻撃者は、この弱点を悪用したり、中間者攻撃を実行したり、開いているワイヤレス トラフィックを傍受したりすることによって、被害者の MS-CHAP v2 ハンドシェイクを傍受できる必要があります。 MS-CHAP v2 認証トラフィックを取得した攻撃者は、悪用コードを使用してユーザーの資格情報を復号化する可能性があります。

これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ですか?
いいえ。これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ではありません。 この問題は、MS-CHAP v2 プロトコルの既知の暗号の弱点が原因であり、構成の変更を実装することで対処されます。 PEAP を使用して MS-CHAP v2/PPTP ベースのトンネルをセキュリティで保護する方法については、Microsoft サポート技術情報の記事2744850を参照してください

MS-CHAP v2 とは
MS-CHAP v2 は、チャレンジ ハンドシェイク相互認証プロトコルです。 ユーザーがサービスに対して認証を行うと、リモート アクセス サーバーはクライアントにチャレンジを送信して証明を求めます。 次に、クライアントはチャレンジをサーバーに送信して、証明を要求します。 サーバーがクライアントのチャレンジに正しく応答してユーザーのパスワードに関する知識を持っていることを証明できない場合、クライアントは接続を終了します。 相互認証がないと、リモート アクセス クライアントは偽装サーバーへの接続を検出できませんでした。

MS-CHAP v1 は影響を受けるか
MS-CHAP v1 は非推奨になりました。 詳細については、Microsoft サポート技術情報の記事 926170 を参照してください

中間者攻撃とは
中間者攻撃は、攻撃者が 2 人のユーザーの情報を知らずに、攻撃者のコンピューターを介して 2 人のユーザー間の通信を再ルーティングするときに発生します。 通信の各ユーザーは、意図したユーザーとだけ通信していると考えながら、知らず知らずのうちに攻撃者との間でトラフィックを送受信します。

推奨されるアクション

PEAP を使用して MS-CHAP v2/PPTP ベースのトンネルをセキュリティで保護する

PEAP を使用して MS-CHAP v2/PPTP ベースのトンネルをセキュリティで保護する方法については、Microsoft サポート技術情報の記事2744850を参照してください

または、Microsoft VPN に PEAP-MS-CHAP v2 認証を実装する代わりに、より安全な VPN トンネルを使用します

使用される トンネル テクノロジ が柔軟で、パスワードベースの認証方法が必要な場合は、認証に L2TP、IKEv2、または SSTP VPN トンネルを MS-CHAP v2 または EAP-MS-CHAP v2 と組み合わせて使用することをお勧めします。

詳細については、次のリンクを参照してください。

注: お客様は、環境に対する構成変更の影響を評価することをお勧めします。 Microsoft VPN に PEAP-MS-CHAP v2 認証を実装すると、L2TP、IKEv2、SSTP VPN トンネルを認証に MS-CHAP v2 または EAP-MS-CHAP v2 と組み合わせて使用するなど、より安全な VPN トンネルを実装するよりも、構成の変更が少なく、システムへの影響が少なくなる場合があります。

その他の推奨されるアクション

  • PC を保護する

    ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 詳細については、「Microsoft セーフty & Security Center」を参照してください

  • Microsoft ソフトウェアを最新の状態に保つ

    Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新を有効にして、Microsoft 製品の更新プログラムを提供するように構成している場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。

その他の情報

フィードバック

  • Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。

サポート

  • 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポート受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください
  • 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
  • Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責情報

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン

  • V1.0 (2012 年 8 月 20 日): アドバイザリが公開されました。

ビルド日: 2014-04-18T13:49:36Z-07:00