限定公開( 2 )
Microsoftが10月14日(米国太平洋夏時間、以下同)から配信しているWindows 11 バージョン24H2/バージョン25H2およびWindows Server 2025向けの月例更新プログラムについて、適用後に複数の問題が発生することが確認された。同社は問題を既に把握済みで、一部については今後の更新プログラムで解消する見込みだ。
●IISを利用するWebサイトを読み込めない(軽減策あり)
Windowsに内包されたWebサーバサービス「IIS(Internet Information Services)」を利用しているデバイスに今回の更新プログラムを適用すると、エラーメッセージが出てWebサイトが表示(受信)できなくなる事象が確認された。
この事象はIISを構成するコンポーネントの1つである「HTTP.sys」に依存するアプリやWebプログラムで発生する可能性があり、ローカルホスト(デバイス内完結)でのアクセスだけでなく本コンポーネントを介して外部サイトに接続する場合でも起きうる。ただし、「インターネット(外部接続)の有無」「更新プログラム適用のタイミング」「デバイス再起動のタイミング」といった複数の要素が絡み合って発生するため、全てのデバイスで発生するとは限らないという。
|
|
|
|
この事象が既に発生してしまった場合、多くのケースで「KIR(既知の問題ロールバック)」という仕組みで解消可能だ。KIRは「Windows Update」で更新をチェックした後に、更新の有無を問わず再起動することで早期に適用できる可能性がある。グループポリシーが適用されているデバイスの場合、KIRを利用するには管理者がグループポリシーを変更(設定)しなければならないこともあるので注意しよう。
Microsoftでは、本事象を抜本的に解決する更新プログラムの準備を進めているが、提供時期は未定だ。
●WinRE環境でUSB接続のキーボード/マウスが使えない
今回の更新プログラムの適用後、Windowsの回復(リカバリー)で使われる「WinRE(Windows Recovery Environment)」においてUSB接続のキーボード/マウスが利用できない事象が発生している。USBキーボード/マウスで操作を行うデバイスでこの問題が発生すると、WinRE環境で操作を一切受け付けなくなってしまう。
この問題は、あくまでもWinRE環境でのみ発生するもので、通常のWindows環境では発生しない。
|
|
|
|
Microsoftでは、本事象を解消する更新プログラムの準備を進めているが、提供時期は未定だ。
●スマートカードを使った認証が正常に行えない(副作用のある解決策あり)
スマートカードリーダーを搭載するデバイスに今回の更新プログラムを適用すると、スマートカードでの認証操作時に証明書の利用に問題が生じる可能性がある。具体的な症状としては、以下のことが発生する。
・32bitアプリにおいて「CSP(暗号化サービスプロバイダー)」としてスマートカードを認識しない(選べない)
・ドキュメントに署名を行えない
|
|
|
|
・証明書を使って認証を行うアプリでエラーが出てしまう
RSAベースのスマートカードをWindowsで使う場合、CSPを使って暗号化や署名といったセキュリティ機能を提供していた。しかし、CSPに“重要”レベルの脆弱(ぜいじゃく)性報告があったため、現在は「KSP(キーサービスプロバイダー)」を利用することが推奨されている。
今回の問題は、この流れを受けてWindowsにおいてCSPの利用を“標準で”無効化したことが原因で、過去のバージョンのWindows(※1)に2025年10月更新を適用した場合も同じ問題が発生する。
(※1)Windows 11 バージョン22H2/23H2、Windows 10 バージョン22H2、Windows Server 2012〜23H2
問題が発生する可能性を確認する方法
この問題が発生するデバイスでは、今回の更新プログラムを適用する前の時点で「イベント」としてCSPを利用している旨のアラートが記録されている。
「イベント ビューアー」で「スマート カード サービス(Smart Card Serivce)」のログを確認し、ID番号「624」のイベント(監査ログ)が存在する場合は、今回の更新後に問題が発生する。
CSPをどうしても使いたい場合の解決策
今回の問題は、Windowsでスマートカードを利用するためのセキュリティ強化策の一環として発生したものだ。スマートカード利用時のセキュリティをKSPに切り替えることが根本的な解決策となる。
一方で「どうしてもCSPを使い続けたい(使い続けなければならない)」という場合は、以下の方法でCSPの利用を有効化できる(レジストリを変更するため、操作には注意が必要)。
1. 「レジストリ エディター」(regedit.exe)を開く
3. 必要に応じてUAC(ユーザーアカウント制御)で許可を与える
6. サブキー「KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais」に移動する
7. サブキー内に「DisableCapiOverrideForRSA」というキー(DWORD 32bit)があるかどうか確認する
9. ない場合は、値を新規作成する
12. 上記のキーをダブルクリックし、値として「0」を入力する
13. レジストリ エディターを閉じてデバイスを再起動する
ただし、CSPにまつわる脆弱性は解消しているわけではないため、この操作は一定のセキュリティリスクを許容するということを意味する。
|
|
|
|
|
|
|
|
Copyright(C) 2025 ITmedia Inc. All rights reserved. 記事・写真の無断転載を禁じます。
掲載情報の著作権は提供元企業に帰属します。
IT・インターネット
