現在オフラインです。再接続するためにインターネットの接続を待っています

[MS10-029] Windows ISATAP コンポーネントの脆弱性により、なりすましが行われる

Windows XP のサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XP のサポートを終了しました。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

はじめに
マイクロソフトはセキュリティ情報 MS10-029 を公開しました。セキュリティ情報の詳細を参照するには、次のいずれかのマイクロソフト Web サイトにアクセスしてください。

このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法:

ホーム ユーザーの場合、無料サポートが提供されています。米国およびカナダのユーザーは電話で 1-866-PCSAFETY にお問い合わせください。セキュリティ更新プログラムのサポートに関する各地域の支社の問い合わせ先については、マイクロソフトの世界のサポート Web サイトを参照してください。 北米のお客様は、次のマイクロソフト Web サイトにアクセスして、無制限の無料電子メール サポートまたは無制限の個別チャット サポートを受けることもできます。 企業ユーザーの場合、セキュリティ更新プログラムに対するサポートは、通常のサポート窓口を通じて提供されます。
詳細

このセキュリティ情報の機能上の変更点について

このセキュリティ更新プログラムは、IPv6 Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) に対する次の 2 つの機能を実装しています。
  • Potential Router List (PRL): PRL により、ISATAP クライアントは、着信 ISATAP パケットに対する発信元アドレス チェックを実行できます。PRL はインターネット標準 RFC 5214 に記載されています。このセキュリティ更新プログラムをインストールした後、PRL の情報に基づいて強化が追加されます。これにより、セキュリティ情報 MS10-029 に記載されている脆弱性からユーザーが保護されます。
  • Neighbor Unreachability Detection (NUD): NUD は、隣接デバイスが到達可能であるかどうかを確認するために、ISATAP ルーターにより使用されます。NUD はインターネット標準 RFC 4861 に記載されています。互換性の要件が高いため、このセキュリティ更新プログラムをインストールした後、既定では NUD は無効になっています。そのため、NUD には手動による構成が必要です。

Potential Router List (PRL) の動作

Potential Router List は、ISATAP ルーターの各 ISATAP クライアント上にリストを維持する機能です。これらのアドレスは、ISATAP ルーター上の DNS 解決から取得されます。このセキュリティ更新プログラムをインストールした後、Windows では、PRL に含まれている情報を使用して追加の検証が実行されます。

パケットが受信されると、次の 2 つの条件のいずれかが満たされる場合にのみ、パケットが処理されます。
  • IPv4 発信元アドレスが、IPv6 発信元アドレスの最後の 32 ビットに一致する。
  • IPv4 発信元アドレスが、Potential Router List のアドレスに一致する。これは、パケットがクライアントの ISATAP ルーターによりトンネリングされたことを示しています。
たとえば、次のような状況を考えます。
ホストIPv4 アドレスIPv6 アドレス
A1.1.1.13ffe::5efe:1.1.1.1
B2.2.2.22ffe::5efe:2.2.2.2
この状況では、ホスト A は ISATAP でトンネリングされたパケットを、IPv4 発信元アドレス 1.1.1.1 を持つホスト B に送信します。トンネリングされたパケットには、2ffe::5efe:3.3.3.3 など、偽装された IPv6 発信元アドレスが存在します。PRL がない場合、ホスト B は 1.1.1.1 ではなく 3.3.3.3 に応答します。

ただし、PRL が使用されている場合、PRL により偽装の試みが検出され、パケットは処理されません。

Neighbor Unreachability Detection (NUD) の動作

Neighbor Unreachability Detection (NUD) は、ISATAP ルーター上でこの更新プログラムにより展開される新機能です。NUD は、パケットを転送する前に隣接デバイスが到達可能であるかどうかを検証します。これにより、ネットワークで適切な処理が行われるようになり、特定の種類のルーティング ループが防止されます。

この機能を有効にすると、パケットを転送する前に、ルーターは宛先 ISATAP ノードに Neighbor Solicitation (NS) を送信します。このノードは NS を受信します。該当する IPv6 アドレスがない場合、ISATAP ノードは NS に応答せず、パケットを破棄します。アドレスが受信側 ISATAP ノードに割り当てられている場合、ISATAP ノードは Neighbor Advertisement (NA) を使用して応答します。この NA を受信すると、発信ノードはパケットを転送します。

ネットワークで NUD を展開する方法

NUD を展開する場合には注意する必要があります。ネットワーク上の一部の ISATAP ノードが NUD をサポートしていない場合、NUD を有効にすると接続の問題が発生する可能性があります。NUD をサポートしないデバイスに Neighbor Solicitation を送信する ISATAP ルーターは、応答を受信しません。そのため、ISATAP ルーターは、その経路は到達不可能であるという結論を出します。

NUD は Windows 7 および Windows Server 2008 R2 ベースのシステムでサポートされています。ただし、手動で有効にする必要があります。

Windows XP、Windows Server 2003、Windows Vista、および Windows Server 2008 ベースのシステムでは、セキュリティ更新プログラム 978338 をインストールしてから手動で NUD を有効にする必要があります。

ISATAP 対応ルーターのサードパーティ製造元に確認して、デバイスが NUD を実装していて、NS および NA パケットの処理をサポートしているかどうかを調べることをお勧めします。

Neighbor Unreachability Detection を有効にする方法

Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 ベースのシステムで NUD を有効にする

Neighbor Unreachability Detection を有効にするには、以下の手順を実行します。
  1. コマンド プロンプトで以下のコマンドを入力し、Enter キーを押します。
    netsh int ipv6 set interface ISATAP interface-name nud=enabled
  2. コンピューターを再起動します。
Neighbor Unreachability Detection を無効にするには、以下の手順を実行します。
  1. コマンド プロンプトで以下のコマンドを入力し、Enter キーを押します。
    netsh int ipv6 set interface ISATAP interface-name nud=di store=persistent
  2. コンピューターを再起動します。
Windows XP および Windows Server 2003 ベースのシステムで NUD を有効にする

重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。バックアップおよび復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756 Windows XP でレジストリをバックアップおよび復元する方法
NUD を有効にするには、値が 1 である NUDEnabledOnISATAP という名前の DWORD 値を以下のレジストリ サブキーに追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\GlobalParams
修正を無効にするには、値 0 (ゼロ) を使用するように NUDEnabledOnISATAP DWORD エントリを変更します。

これらのレジストリ値を追加するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「regedit」と入力し、[OK] をクリックします。
  2. レジストリで次のサブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\
  3. [編集] メニューの [新規] をポイントし、[キー] をクリックします。
  4. キーの名前として「GlobalParams」と入力し、Enter キーを押します。
  5. [GlobalParams] キーをダブルクリックして開きます。
  6. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
  7. DWORD 値の名前として「NUDEnabledOnISATAP」と入力し、Enter キーを押します。
  8. [NUDEnabledOnISATAP] を右クリックし、[修正] をクリックします。
  9. NUD を有効にするために [値のデータ] ボックスに「1」と入力し、[OK] をクリックします。

    : NUD を無効にするには「0」 (ゼロ) と入力し、[OK] をクリックします。
  10. レジストリ エディターを終了し、コンピューターを再起動します。
ファイル情報
セキュリティ更新プログラム (日本語版) のファイル属性は、セキュリティ情報 MS10-029 の「ファイル情報」セクションをご覧ください。
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE
プロパティ

文書番号:978338 - 最終更新日: 04/19/2010 09:00:44 - リビジョン: 1.1

Windows Server 2008 Service Pack 2, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Vista Service Pack 2, Windows Vista Service Pack 1, Windows Vista Business, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Starter, Windows Vista Ultimate, Windows Vista Enterprise 64-bit edition, Windows Vista Home Basic 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Business 64-bit edition, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 2, Microsoft Windows XP Service Pack 3

  • kbregistry atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbsurveynew KB978338
フィードバック
ame("head")[0].appendChild(m);