[MS10-029] Windows ISATAP コンポーネントの脆弱性により、なりすましが行われる

文書翻訳 文書翻訳
文書番号: 978338 - 対象製品
すべて展開する | すべて折りたたむ

目次

はじめに

マイクロソフトはセキュリティ情報 MS10-029 を公開しました。セキュリティ情報の詳細を参照するには、次のいずれかのマイクロソフト Web サイトにアクセスしてください。

このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法:

ホーム ユーザーの場合、無料サポートが提供されています。米国およびカナダのユーザーは電話で 1-866-PCSAFETY にお問い合わせください。セキュリティ更新プログラムのサポートに関する各地域の支社の問い合わせ先については、マイクロソフトの世界のサポート Web サイトを参照してください。
http://support.microsoft.com/common/international.aspx?rdpath=4
北米のお客様は、次のマイクロソフト Web サイトにアクセスして、無制限の無料電子メール サポートまたは無制限の個別チャット サポートを受けることもできます。
http://support.microsoft.com/oas/default.aspx?&prid=7552
企業ユーザーの場合、セキュリティ更新プログラムに対するサポートは、通常のサポート窓口を通じて提供されます。

詳細

このセキュリティ情報の機能上の変更点について

このセキュリティ更新プログラムは、IPv6 Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) に対する次の 2 つの機能を実装しています。
  • Potential Router List (PRL): PRL により、ISATAP クライアントは、着信 ISATAP パケットに対する発信元アドレス チェックを実行できます。PRL はインターネット標準 RFC 5214 に記載されています。このセキュリティ更新プログラムをインストールした後、PRL の情報に基づいて強化が追加されます。これにより、セキュリティ情報 MS10-029 に記載されている脆弱性からユーザーが保護されます。
  • Neighbor Unreachability Detection (NUD): NUD は、隣接デバイスが到達可能であるかどうかを確認するために、ISATAP ルーターにより使用されます。NUD はインターネット標準 RFC 4861 に記載されています。互換性の要件が高いため、このセキュリティ更新プログラムをインストールした後、既定では NUD は無効になっています。そのため、NUD には手動による構成が必要です。

Potential Router List (PRL) の動作

Potential Router List は、ISATAP ルーターの各 ISATAP クライアント上にリストを維持する機能です。これらのアドレスは、ISATAP ルーター上の DNS 解決から取得されます。このセキュリティ更新プログラムをインストールした後、Windows では、PRL に含まれている情報を使用して追加の検証が実行されます。

パケットが受信されると、次の 2 つの条件のいずれかが満たされる場合にのみ、パケットが処理されます。
  • IPv4 発信元アドレスが、IPv6 発信元アドレスの最後の 32 ビットに一致する。
  • IPv4 発信元アドレスが、Potential Router List のアドレスに一致する。これは、パケットがクライアントの ISATAP ルーターによりトンネリングされたことを示しています。
たとえば、次のような状況を考えます。
元に戻す全体を表示する
ホストIPv4 アドレスIPv6 アドレス
A1.1.1.13ffe::5efe:1.1.1.1
B2.2.2.22ffe::5efe:2.2.2.2
この状況では、ホスト A は ISATAP でトンネリングされたパケットを、IPv4 発信元アドレス 1.1.1.1 を持つホスト B に送信します。トンネリングされたパケットには、2ffe::5efe:3.3.3.3 など、偽装された IPv6 発信元アドレスが存在します。PRL がない場合、ホスト B は 1.1.1.1 ではなく 3.3.3.3 に応答します。

ただし、PRL が使用されている場合、PRL により偽装の試みが検出され、パケットは処理されません。

Neighbor Unreachability Detection (NUD) の動作

Neighbor Unreachability Detection (NUD) は、ISATAP ルーター上でこの更新プログラムにより展開される新機能です。NUD は、パケットを転送する前に隣接デバイスが到達可能であるかどうかを検証します。これにより、ネットワークで適切な処理が行われるようになり、特定の種類のルーティング ループが防止されます。

この機能を有効にすると、パケットを転送する前に、ルーターは宛先 ISATAP ノードに Neighbor Solicitation (NS) を送信します。このノードは NS を受信します。該当する IPv6 アドレスがない場合、ISATAP ノードは NS に応答せず、パケットを破棄します。アドレスが受信側 ISATAP ノードに割り当てられている場合、ISATAP ノードは Neighbor Advertisement (NA) を使用して応答します。この NA を受信すると、発信ノードはパケットを転送します。

ネットワークで NUD を展開する方法

NUD を展開する場合には注意する必要があります。ネットワーク上の一部の ISATAP ノードが NUD をサポートしていない場合、NUD を有効にすると接続の問題が発生する可能性があります。NUD をサポートしないデバイスに Neighbor Solicitation を送信する ISATAP ルーターは、応答を受信しません。そのため、ISATAP ルーターは、その経路は到達不可能であるという結論を出します。

NUD は Windows 7 および Windows Server 2008 R2 ベースのシステムでサポートされています。ただし、手動で有効にする必要があります。

Windows XP、Windows Server 2003、Windows Vista、および Windows Server 2008 ベースのシステムでは、セキュリティ更新プログラム 978338 をインストールしてから手動で NUD を有効にする必要があります。

ISATAP 対応ルーターのサードパーティ製造元に確認して、デバイスが NUD を実装していて、NS および NA パケットの処理をサポートしているかどうかを調べることをお勧めします。

Neighbor Unreachability Detection を有効にする方法

Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 ベースのシステムで NUD を有効にする

Neighbor Unreachability Detection を有効にするには、以下の手順を実行します。
  1. コマンド プロンプトで以下のコマンドを入力し、Enter キーを押します。
    netsh int ipv6 set interface ISATAP interface-name nud=enabled
  2. コンピューターを再起動します。
Neighbor Unreachability Detection を無効にするには、以下の手順を実行します。
  1. コマンド プロンプトで以下のコマンドを入力し、Enter キーを押します。
    netsh int ipv6 set interface ISATAP interface-name nud=di store=persistent
  2. コンピューターを再起動します。
Windows XP および Windows Server 2003 ベースのシステムで NUD を有効にする

重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。バックアップおよび復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756 Windows XP でレジストリをバックアップおよび復元する方法
NUD を有効にするには、値が 1 である NUDEnabledOnISATAP という名前の DWORD 値を以下のレジストリ サブキーに追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\GlobalParams
修正を無効にするには、値 0 (ゼロ) を使用するように NUDEnabledOnISATAP DWORD エントリを変更します。

これらのレジストリ値を追加するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「regedit」と入力し、[OK] をクリックします。
  2. レジストリで次のサブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\
  3. [編集] メニューの [新規] をポイントし、[キー] をクリックします。
  4. キーの名前として「GlobalParams」と入力し、Enter キーを押します。
  5. [GlobalParams] キーをダブルクリックして開きます。
  6. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
  7. DWORD 値の名前として「NUDEnabledOnISATAP」と入力し、Enter キーを押します。
  8. [NUDEnabledOnISATAP] を右クリックし、[修正] をクリックします。
  9. NUD を有効にするために [値のデータ] ボックスに「1」と入力し、[OK] をクリックします。

    : NUD を無効にするには「0」 (ゼロ) と入力し、[OK] をクリックします。
  10. レジストリ エディターを終了し、コンピューターを再起動します。

ファイル情報

セキュリティ更新プログラム (日本語版) のファイル属性は、セキュリティ情報 MS10-029 の「ファイル情報」セクションをご覧ください。

プロパティ

文書番号: 978338 - 最終更新日: 2010年4月19日 - リビジョン: 1.1
この資料は以下の製品について記述したものです。
  • Windows Server 2008 Service Pack 2?を以下の環境でお使いの場合
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 2?を以下の環境でお使いの場合
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Service Pack 1?を以下の環境でお使いの場合
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 2?を以下の環境でお使いの場合
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2?を以下の環境でお使いの場合
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3?を以下の環境でお使いの場合
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
キーワード:?
kbregistry atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbsurveynew KB978338
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com