認証プロトコルのKerberosとPKINIT（Public Key Cryptography for Initial Authentication in Kerberos：Kerberosの初期認証に公開鍵交換を使用する仕組み）プロトコルに脆弱性が存在し、サービス拒否攻撃や情報漏えい、なりすましの危険がある。

　Kerberosの脆弱性は、Windows 2000 ServerとWindows Server 2003のドメイン・コントローラのみが影響を受ける。この脆弱性を悪用するように細工されたKerberosメッセージをドメイン・コントローラが受信すると、コンピュータの応答が停止し、自動的に再起動される。場合によっては、再びサービス拒否攻撃を受けて、再起動が繰り返され、事実上、ドメイン・コントローラの利用が不可能になる可能性もある。ドメイン・コントローラが利用できなくなると、クライアントはドメイン認証が行えなくなり、ドメインのリソース（ファイル・サーバなど）にアクセスできなくなる。

　PKINITプロトコルの脆弱性が悪用されると、ドメイン・コントローラから送信された情報が改ざんされたり、コンピュータ間の通信内容が窃取されたりする危険性がある。対話的ログオンにスマート・カードなどによる認証を行っている場合に、PKINITプロトコルが使われるため、この脆弱性の影響を受ける。

　マイクロソフトによれば、MS05-042の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。ただしKerberosの脆弱性がウイルスやワームなどに悪用された場合、ドメイン全体に影響をおよぼすことになるので、なるべく早く修正プログラムを適用した方がよい。

　MS05-042の修正プログラムは、以下の2種類の脆弱性を解消する。

■Kerberosの脆弱性（深刻度：警告　CVE：CAN-2005-1981）
　Kerberosは、Windows 2000以降でのドメイン認証やIPSecなどで使われる業界標準の認証プロトコルである。脆弱性は、Kerberosメッセージをドメイン・コントローラが処理する方法に起因する。攻撃は、Kerberosメッセージが配信可能な認証ユーザーのみが行えるとしており、匿名ユーザーによる攻撃の可能性はない。またこの脆弱性は、ドメイン・コントローラのみが影響を受けるため、ドメイン・コントローラに設定していないWindows 2000 Server／Windows Server 2003や、Windows 2000／Windows XPは影響を受けない。

　この脆弱性単独では、危険性はそれほど高くない。しかし、万一ウイルスやワームによってこの脆弱性が攻撃されると、ドメイン全体が麻痺するため影響が大きい。ドメイン・コントローラに設定しているWindows 2000 Server／Windows Server 2003は、攻撃による再起動を防ぐためにも修正プログラムを適用しておいた方がよい。

■PKINITの脆弱性（深刻度：注意　CVE：CAN-2005-1982）
　PKINITは、スマート・カードなどでKerberos認証を行う際の初期公開鍵交換に利用されるプロトコルである。PKINITの脆弱性は、ドメイン・コントローラとクライアント間の通信に割り込みが可能であるという実装上の不具合に起因する。この脆弱性が悪用されると、ドメイン・コントローラになりすましたサーバに接続させられたり、暗号化された通信が盗まれたりする。スマート・カードなどによるログオン認証を行っている場合、ドメイン・コントローラとクライアントの両方で、この脆弱性の影響を受ける。

　どちらに関する脆弱性も、攻撃には有効なログオン資格情報が必要であり、匿名ユーザーによる悪用はない。またPKINITの脆弱性を悪用するには、ドメインのクライアントとドメイン・コントローラ間の認証セッションに割り込む必要がある。

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

■MS05-042の修正プログラム適用後にPKINIT-27のみを利用するように変更可能に
　MS05-042の修正プログラムでは、今後のPKINITの脆弱性に対する対策として、最新バージョンのPKINIT-27のみを受け付けるように設定可能にしている。以下のレジストリ・キーに、データ「1（REG_DWORD型）」（あるいは「0」以外の値）の値「RequireAsChecksum」を追加することで、PKINIT-27のみを認証として受け付けるように変更できる。「0」を書き込むと、変更前と同様、クライアントはPKINIT-27以外のバージョンでの認証も受け付ける。

　MS05-042の修正プログラムを適用しても、このキーは自動で作成されない。つまり適用しただけでは、従来同様、PKINIT-27以外のバージョンでの認証も受け付ける。またクライアント側でこの設定を有効にする前に、そのドメイン内の全ドメイン・コントローラに対してMS05-042の修正プログラムを適用しておくことが推奨されている。

　なおWindows 2000では、レジストリ値を変更後、コンピュータの再起動が必要になる。Windows XPとWindows Server 2003では再起動は不要だ。

・サポート技術情報 904766（How to modify the RequireAsChecksum registry entry after you install security update 899587）
http://support.microsoft.com/default.aspx?scid=kb;en-us;904766

■Windows XP SP2とWindows Server 2003 SP1では［プログラムの追加と削除］で表示形式が日付順になる修正ツールが実行される
　Windows XP SP2とWindows Server 2003 SP1では、update.exe 6.1を使用してビルドされた修正プログラムが、コントロール・パネルの［プログラムの追加と削除］で日付順に並ばないという不具合がある。これは、 update.exe 6.1を使用してビルドされたパッケージのレジストリ・キーに、「Installed On」属性がないことに起因する。

　MS05-042の修正プログラムをWindows XP SP2とWindows Server 2003 SP1に対して適用すると、この不具合を解消する「arpidfix.exe」が実行され、［プログラムの追加と削除］の表示形式で日付順に並ぶように「Installed On」属性を付加する。arpidfix.exeは、修正プログラムの実行時のみ使用される。

・サポート技術情報 904630（Arpidfix.exe ツールについて）：
http://support.microsoft.com/default.aspx?scid=kb;ja;904630

■Windows 2000 SP3向けの修正プログラムは提供されない
　Windows 2000 SP3は2005年6月30日にサポート・ライフサイクルが終了したため、MS05-042の修正プログラムは提供されない。Windows 2000 SP4を適用してから、MS05-042の修正プログラムを適用する必要がある。

■MBSA 2.0の結果
　MS05-042の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能だ。未適用の場合は、「MS05-042 Windows ｛2000／XP／Server 2003｝ 用セキュリティ更新プログラム (KB899587)」が表示される。参考までにMBSA 1.21では、「Kerberos の脆弱性により、サービス拒否、情報の漏えいおよびなりすましが行われる (899587)」が表示される。

　修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

・Windows 2000 SP4：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB899587\Filelist以下のファイル一覧を確認する

・Windows Server 2003 SP未適用／SP1：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP2\KB899587\Filelist以下のファイル一覧を確認する

・Windows 2000 SP4：
［展開ビュー］−［OS］タブに「名前：Windows2000-KB899587-x86-JPN.EXE」で登録

・Windows XP SP1／SP1a／SP2：
［展開ビュー］−［OS］タブに「名前：WindowsXP-KB899587-x86-JPN.exe」で登録

・Windows Server 2003 SP未適用／SP1：
UpdateEXPERT 5.1：サポート対象外
UpdateEXPERT 6.1：［展開ビュー］−［OS］タブに「名前：WindowsServer2003-KB899587-x86-JPN.exe」で登録