概要
Microsoftは、2025年10月のWindowsセキュリティアップデートを適用した後に、スマートカード認証および証明書関連の問題が発生する可能性があると警告しています。この問題は、Windows暗号化サービスを強化するために導入された変更に起因しています。
問題の詳細と影響
この既知の問題は、Windows 10、Windows 11、およびWindows Serverのすべてのリリースに影響を与えます。影響を受けるユーザーは、以下のような様々な症状を経験する可能性があります。
- ドキュメントへの署名ができない。
- 証明書ベースの認証を使用するアプリケーションが機能しない。
- 32ビットアプリケーションでスマートカードがCSP(Cryptographic Service Provider)プロバイダーとして認識されない。
- 「invalid provider type specified」や「CryptAcquireCertificatePrivateKey error」といったエラーメッセージが表示される。
Microsoftによると、この問題は、RSAベースのスマートカード証明書にCSPの代わりにKSP(Key Storage Provider)を使用するよう変更された、最近のWindowsセキュリティ強化に関連しています。
根本原因
この問題は、Windows暗号化サービスにおけるセキュリティ機能バイパスの脆弱性(CVE-2024-30098)に対処するためのセキュリティ修正が、今月のセキュリティアップデートによって自動的に有効化されたことに起因します。この修正は、暗号化操作をスマートカードの実装から分離し、攻撃者がSHA1ハッシュ衝突を作成してデジタル署名をバイパスするのを防ぐために、DisableCapiOverrideForRSAレジストリキーの値をデフォルトで「1」に設定します。
アップデート前にスマートカードサービスでイベントID 624がシステムイベントログに記録されている場合、この問題の影響を受ける可能性があります。
一時的な解決策
認証の問題が発生しているユーザーは、以下の手順でDisableCapiOverrideForRSAレジストリキーを無効にすることで、手動で問題を解決できます。
- レジストリエディターを開きます(Win + Rで「regedit」と入力しEnter)。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calaisのサブキーに移動します。- 「Calais」内で
DisableCapiOverrideForRSAキーが存在するか確認します。 DisableCapiOverrideForRSAをダブルクリックし、値のデータを「0」に設定します。- レジストリエディターを閉じ、変更を有効にするためにコンピューターを再起動します。
重要な注意事項
レジストリを編集する前に、必ずバックアップを取ることが重要です。誤った編集はシステムの問題を引き起こす可能性があります。この解決策は一時的なものであり、DisableCapiOverrideForRSAレジストリキーは2026年4月に削除される予定です。Microsoftは、影響を受けるユーザーに対し、根本的な問題を解決するためにアプリケーションベンダーと協力するよう助言しています。
過去の関連問題
Microsoftは以前にも、Windows 10システムでのリモートデスクトップ接続時のスマートカード認証失敗や、最近のWindowsセキュリティアップデート後のIISウェブサイトおよびHTTP/2 localhost接続の問題など、同様の問題を修正しています。