メイン コンテンツへスキップ
サポート
サインイン
Microsoft アカウントでサインイン
サインインまたはアカウントを作成してください。
こんにちは、
別のアカウントを選択してください。
複数のアカウントがあります
サインインに使用するアカウントを選択してください。

はじめに

マイクロソフトはセキュリティ情報 MS10-029 を公開しました。セキュリティ情報の詳細を参照するには、次のいずれかのマイクロソフト Web サイトにアクセスしてください。

このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法:

ホーム ユーザーの場合、無料サポートが提供されています。米国およびカナダのユーザーは電話で 1-866-PCSAFETY にお問い合わせください。セキュリティ更新プログラムのサポートに関する各地域の支社の問い合わせ先については、マイクロソフトの世界のサポート Web サイトを参照してください。

http://support.microsoft.com/common/international.aspx?rdpath=4 北米のお客様は、次のマイクロソフト Web サイトにアクセスして、無制限の無料電子メール サポートまたは無制限の個別チャット サポートを受けることもできます。

http://support.microsoft.com/oas/default.aspx?&prid=7552 企業ユーザーの場合、セキュリティ更新プログラムに対するサポートは、通常のサポート窓口を通じて提供されます。

詳細

このセキュリティ情報の機能上の変更点について

このセキュリティ更新プログラムは、IPv6 Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) に対する次の 2 つの機能を実装しています。

  • Potential Router List (PRL): PRL により、ISATAP クライアントは、着信 ISATAP パケットに対する発信元アドレス チェックを実行できます。PRL はインターネット標準 RFC 5214 に記載されています。このセキュリティ更新プログラムをインストールした後、PRL の情報に基づいて強化が追加されます。これにより、セキュリティ情報 MS10-029 に記載されている脆弱性からユーザーが保護されます。

  • Neighbor Unreachability Detection (NUD): NUD は、隣接デバイスが到達可能であるかどうかを確認するために、ISATAP ルーターにより使用されます。NUD はインターネット標準 RFC 4861 に記載されています。互換性の要件が高いため、このセキュリティ更新プログラムをインストールした後、既定では NUD は無効になっています。そのため、NUD には手動による構成が必要です。

Potential Router List (PRL) の動作

Potential Router List は、ISATAP ルーターの各 ISATAP クライアント上にリストを維持する機能です。これらのアドレスは、ISATAP ルーター上の DNS 解決から取得されます。このセキュリティ更新プログラムをインストールした後、Windows では、PRL に含まれている情報を使用して追加の検証が実行されます。

パケットが受信されると、次の 2 つの条件のいずれかが満たされる場合にのみ、パケットが処理されます。

  • IPv4 発信元アドレスが、IPv6 発信元アドレスの最後の 32 ビットに一致する。

  • IPv4 発信元アドレスが、Potential Router List のアドレスに一致する。これは、パケットがクライアントの ISATAP ルーターによりトンネリングされたことを示しています。

たとえば、次のような状況を考えます。

ホスト

IPv4 アドレス

IPv6 アドレス

A

1.1.1.1

3ffe::5efe:1.1.1.1

B

2.2.2.2

2ffe::5efe:2.2.2.2

この状況では、ホスト A は ISATAP でトンネリングされたパケットを、IPv4 発信元アドレス 1.1.1.1 を持つホスト B に送信します。トンネリングされたパケットには、2ffe::5efe:3.3.3.3 など、偽装された IPv6 発信元アドレスが存在します。PRL がない場合、ホスト B は 1.1.1.1 ではなく 3.3.3.3 に応答します。


ただし、PRL が使用されている場合、PRL により偽装の試みが検出され、パケットは処理されません。

Neighbor Unreachability Detection (NUD) の動作

Neighbor Unreachability Detection (NUD) は、ISATAP ルーター上でこの更新プログラムにより展開される新機能です。NUD は、パケットを転送する前に隣接デバイスが到達可能であるかどうかを検証します。これにより、ネットワークで適切な処理が行われるようになり、特定の種類のルーティング ループが防止されます。


この機能を有効にすると、パケットを転送する前に、ルーターは宛先 ISATAP ノードに Neighbor Solicitation (NS) を送信します。このノードは NS を受信します。該当する IPv6 アドレスがない場合、ISATAP ノードは NS に応答せず、パケットを破棄します。アドレスが受信側 ISATAP ノードに割り当てられている場合、ISATAP ノードは Neighbor Advertisement (NA) を使用して応答します。この NA を受信すると、発信ノードはパケットを転送します。

ネットワークで NUD を展開する方法

NUD を展開する場合には注意する必要があります。ネットワーク上の一部の ISATAP ノードが NUD をサポートしていない場合、NUD を有効にすると接続の問題が発生する可能性があります。NUD をサポートしないデバイスに Neighbor Solicitation を送信する ISATAP ルーターは、応答を受信しません。そのため、ISATAP ルーターは、その経路は到達不可能であるという結論を出します。



NUD は Windows 7 および Windows Server 2008 R2 ベースのシステムでサポートされています。ただし、手動で有効にする必要があります。


Windows XP、Windows Server 2003、Windows Vista、および Windows Server 2008 ベースのシステムでは、セキュリティ更新プログラム 978338 をインストールしてから手動で NUD を有効にする必要があります。

ISATAP 対応ルーターのサードパーティ製造元に確認して、デバイスが NUD を実装していて、NS および NA パケットの処理をサポートしているかどうかを調べることをお勧めします。

Neighbor Unreachability Detection を有効にする方法

Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 ベースのシステムで NUD を有効にする


Neighbor Unreachability Detection を有効にするには、以下の手順を実行します。

  1. コマンド プロンプトで以下のコマンドを入力し、Enter キーを押します。

    netsh int ipv6 set interface ISATAP interface-name nud=enabled

  2. コンピューターを再起動します。

Neighbor Unreachability Detection を無効にするには、以下の手順を実行します。

  1. コマンド プロンプトで以下のコマンドを入力し、Enter キーを押します。

    netsh int ipv6 set interface ISATAP interface-name nud=di store=persistent

  2. コンピューターを再起動します。

Windows XP および Windows Server 2003 ベースのシステムで NUD を有効にする


重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。バックアップおよび復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。

322756 Windows XP でレジストリをバックアップおよび復元する方法NUD を有効にするには、値が 1 である NUDEnabledOnISATAP という名前の DWORD 値を以下のレジストリ サブキーに追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\GlobalParams

修正を無効にするには、値 0 (ゼロ) を使用するように NUDEnabledOnISATAP DWORD エントリを変更します。



これらのレジストリ値を追加するには、以下の手順を実行します。

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「regedit」と入力し、[OK] をクリックします。

  2. レジストリで次のサブキーを見つけてクリックします。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\

  3. [編集] メニューの [新規] をポイントし、[キー] をクリックします。

  4. キーの名前として「GlobalParams」と入力し、Enter キーを押します。

  5. [GlobalParams] キーをダブルクリックして開きます。

  6. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。

  7. DWORD 値の名前として「NUDEnabledOnISATAP」と入力し、Enter キーを押します。

  8. [NUDEnabledOnISATAP] を右クリックし、[修正] をクリックします。

  9. NUD を有効にするために [値のデータ] ボックスに「1」と入力し、[OK] をクリックします。



    注: NUD を無効にするには「0」 (ゼロ) と入力し、[OK] をクリックします。

  10. レジストリ エディターを終了し、コンピューターを再起動します。

ファイル情報

セキュリティ更新プログラム (日本語版) のファイル属性は、セキュリティ情報 MS10-029 の「ファイル情報」セクションをご覧ください。

Facebook LinkedIn メール

ヘルプを表示

その他のオプションが必要ですか?

ディスカバー コミュニティ

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。

Microsoft コミュニティに問い合わせる

Microsoft 技術コミュニティ

Windows Insiders

Microsoft 365 Insiders

この情報は役に立ちましたか?

言語の品質にどの程度満足していますか?
どのような要因がお客様の操作性に影響しましたか?
[送信] を押すと、Microsoft の製品とサービスの改善にフィードバックが使用されます。 IT 管理者はこのデータを収集できます。 プライバシーに関する声明。

フィードバックをいただき、ありがとうございます。

×