[MS12-006] SSL/TLS の脆弱性により、情報漏えいが起こる(2012 年 1 月 10 日)

このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法

更新プログラムのインストールに関するヘルプ: Windows Update サポート ページ

IT プロフェッショナルのためのセキュリティ ソリューション: セキュリティに関するトラブルシューティングとサポート

ウイルスとマルウェアから Windows を搭載しているコンピューターを保護する: ウイルスとセキュリティ サポート ページ

国ごとのローカル サポート: その他の地域のサポート

Internet Explorer 上の TLS 1.1 用の Fix it ソリューション

この Fix it ソリューションを有効または無効にするには、[有効にする] または [無効にする] 見出しの下の [この問題を解決する] ボタンまたはリンクをクリックします。[ファイルのダウンロード] ダイアログ ボックスで [実行] をクリックし、このウィザードの手順に従います。

Windows ベースのサーバー上の TLS 1.1 用の Fix it ソリューション

この Fix it ソリューションを有効または無効にするには、[有効にする] または [無効にする] 見出しの下の [この問題を解決する] ボタンまたはリンクをクリックします。[ファイルのダウンロード] ダイアログ ボックスで [実行] をクリックし、このウィザードの手順に従います。

このセキュリティ更新プログラムに関する既知の問題

このセキュリティ更新プログラムをインストールした後に、認証エラーまたは一部の HTTPS サーバーへの接続の切断が発生することがあります。この問題は、セキュリティ更新プログラムによって、HTTPS サーバーへのレコードの送信方法が変更されるために発生します。

このセキュリティ更新プログラムを一時的に無効または再び有効にするには、[セキュリティ更新プログラムを無効にする] または [セキュリティ更新プログラムを再び有効にする] 見出しの下の [この問題を解決する] ボタンまたはリンクをクリックします。[ファイルのダウンロード] ダイアログ ボックスで [実行] をクリックし、このウィザードの手順に従います。

注意事項

• これらのウィザードは英語版のみとなります。自動的な解決は英語版以外の Windows でも機能します。

• 問題のあるコンピューターとは別のコンピューターを操作している場合、自動的な解決ツールをフラッシュ ドライブまたは CD に保存することで、問題のあるコンピューターで実行することができます。

次の表に、これらの Fix it ソリューションによって SendExtraRecord registry DWORD エントリに適用される値を示します。

注: SendExtraRecord 設定は Windows の今後のリリースに含まれる予定です。

レジストリ情報

非推奨以下の手順を使用してこのセキュリティ更新プログラムを無効にすることはお勧めしません。ただし、すべてのアプリケーションに対して分割 SSL レコードを有効にするこのセキュリティ更新プログラムと互換性のないアプリケーションを使用する場合のために、この手順を説明します。

重要 このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。

322756Windows でレジストリをバックアップおよび復元する方法

既定では、アプリケーションの互換性の問題のために、このセキュリティ更新プログラムは、schannel レベルで選択モードに設定します。システム全体のすべてのアプリケーションに対してこのセキュリティ更新プログラムを無効にするには、SendExtraRecord という名前の DWORD 値を 2 に設定して次のレジストリ サブキーに追加する必要があります。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL この schannel レジストリ エントリを追加するには、次の手順に従います。

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「regedit」と入力し、[OK] をクリックします。

2. レジストリで次のサブキーを見つけてクリックします。

   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。

4. DWORD 値の名前に「SendExtraRecord」と入力して、Enter キーを押します。

5. [SendExtraRecord] を右クリックし、[修正] をクリックします。

6. [値のデータ] ボックスに「2」と入力して schannel での分割レコードを無効にし、[OK] をクリックします。

7. レジストリ エディターを終了します。

このレジストリには次の 3 つの値を指定することができ、それぞれが異なる動作モードに設定します。

社内のテストによって、値を 1 に設定すると、企業内で発生する分割が多くなりすぎるので実用的ではないことがわかりました。そのため、この値を使用することはお勧めしません。

SendExtraRecord レジストリ エントリを有効にした場合の既知の問題

• SendExtraRecord レジストリ値を 1 に設定すると、schannel 内での暗号化データに対するすべての呼び出しでレコードが強制的に分割されます。これは、呼び出し元がセッションの初期化中に Secure フラグを送信したかどうかに関係なく実行されます。

• schannel を使用する多くのアプリケーションが、受信側から見るとアプリケーション データが 1 つのパケットにパッケージ化されているように見えるように書き込まれます。これは、アプリケーションが暗号化解除のために schannel を呼び出すにもかかわらず実行されます。アプリケーションは、schannel によって設定されるフラグを無視します。このフラグは、受信側によって復号化および選択されるデータが残っていることをアプリケーションに知らせます。このモードは、MSDN によって規定された schannel の使用方法に従っていません。このセキュリティ更新プログラムはレコードの分割を適用するので、そのようなアプリケーションが中断されます。

• 中断されるアプリケーションには、マイクロソフト製品および受信トレイ コンポーネントが含まれます。次に、SendExtraRecord レジストリ値を 1 に設定したときに中断が発生する可能性がある状況の例を示します。

• • すべての SQL 製品および SQL 上に構築されているアプリケーション

  • ネットワーク レベル認証 (NLA) が有効になっているターミナル サーバー。NLA は Windows Vista 以降のバージョンの Windows で既定で有効になります。

  • いくつかのルーティングとリモート アクセス サービス (RRAS) のシナリオ

SendExtraRecord レジストリ値を 1 に設定すると、Windows TLS/SSL を使用するすべてのアプリケーションに対してセキュリティで保護されたレコードの分割が強制されます。ただし、この設定はアプリケーションの互換性の問題を発生せる可能性があります。そのため、このレジストリ設定を使用する代わりに、TLS 1.1 および TLS 1.2 を構成することをお勧めします。TLS 1.1 および TLS 1.2 にはこの問題に対する脆弱性はありません。

ユーザーがこのレジストリ設定を使用する場合は、実装の前にアプリケーションの互換性テストを十分に行うことをお勧めします。この設定の影響を受けることがわかっている一般的な製品には、Microsoft SQL 製品、Windows ターミナル サーバー、Windows Remote Access Server が含まれます。