概要
Microsoftは、2025年10月のWindowsセキュリティ更新プログラムが原因で、スマートカード認証および証明書関連の問題が発生していることを警告しました。この問題は、Windows暗号化サービスを強化するための変更に起因しています。
問題の詳細と影響
この既知の問題は、Windows 10、Windows 11、およびWindows Serverの全リリースに影響を及ぼします。影響を受けるユーザーは、以下のような様々な症状を経験する可能性があります。
- ドキュメントへの署名不能
- 証明書ベースの認証を使用するアプリケーションの機能不全
- 32ビットアプリケーションでスマートカードがCSP(Cryptographic Service Provider)プロバイダーとして認識されない
- 「invalid provider type specified」および「CryptAcquireCertificatePrivateKey error」といったエラーメッセージ
Microsoftによると、この問題は、RSAベースのスマートカード証明書でCSPの代わりにKSP(Key Storage Provider)を使用するように変更された、最近のWindowsセキュリティ強化に関連しています。
根本原因とセキュリティ強化
今回のセキュリティ更新プログラムは、Windows暗号化サービスにおけるセキュリティ機能バイパスの脆弱性(CVE-2024-30098)に対処するための修正を自動的に有効にしています。この修正は、DisableCapiOverrideForRSAレジストリキーの値を「1」に設定することで、暗号化操作をスマートカードの実装から分離し、脆弱なシステムでSHA1ハッシュ衝突を作成してデジタル署名をバイパスする攻撃をブロックすることを目的としています。
ユーザーは、10月のWindowsセキュリティ更新プログラムをインストールする前に、スマートカードサービスに関するイベントログにイベントID 624が存在するかどうかを確認することで、自身のスマートカードがこの問題の影響を受けるかどうかを検出できます。
一時的な回避策
認証問題が発生しているユーザーは、以下の手順でDisableCapiOverrideForRSAレジストリキーを無効にすることで、手動で問題を解決できます。
- レジストリエディターを開きます(Win + Rで「regedit」と入力しEnter)。
- 以下のサブキーに移動します:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais Calais内にDisableCapiOverrideForRSAキーが存在するか確認します。DisableCapiOverrideForRSAをダブルクリックし、値のデータを「0」に設定します。- レジストリエディターを閉じ、変更を有効にするためにコンピューターを再起動します。
重要:レジストリを編集する前に、必ずバックアップを取ってください。誤った編集はシステムの問題を引き起こす可能性があります。
今後の展望と推奨事項
この回避策は一時的なものであり、DisableCapiOverrideForRSAレジストリキーは2026年4月に削除される予定です。Microsoftは、影響を受けるユーザーに対し、根本的な問題を解決するためにアプリケーションベンダーと協力するよう助言しています。
その他の最近の修正
Microsoftは先週、最近のWindowsセキュリティ更新プログラムのインストール後に発生していたIISウェブサイトおよびHTTP/2 localhost(127.0.0.1)接続の問題を修正しました。また、Windows 11 24H2へのアップグレードを妨げていた2つの互換性ホールドも解除されました。