Microsoftは、Windowsの暗号化サービスを強化するための変更により、2025年10月のWindowsセキュリティ更新プログラムがスマートカード認証および証明書の問題を引き起こしていると発表しました。
この既知の問題は、Windows 10、Windows 11、およびWindows Serverのすべてのリリース、最新の広範な展開向けバージョンも含めて影響します。
影響を受けたユーザーは、文書への署名ができない、証明書ベース認証を使用するアプリケーションの失敗、32ビットアプリでスマートカードがCSPプロバイダー(暗号化サービスプロバイダー)として認識されないなど、さまざまな症状が発生する可能性があります。
また、「指定されたプロバイダータイプが無効です」や「CryptAcquireCertificatePrivateKey エラー」などのエラーメッセージが表示されることもあります。
「この問題は、暗号化の強化のためにRSAベースのスマートカード証明書でCSP(暗号化サービスプロバイダー)の代わりにKSP(キー記憶プロバイダー)を使用するようにした最近のWindowsセキュリティ強化に関連しています」とMicrosoftは述べています。
「2025年10月のWindowsセキュリティ更新プログラムをインストールする前に、スマートカードサービスのシステムイベントログにイベントID 624が存在する場合、この問題の影響を受ける可能性があることが検出できます。」
同社の説明によると、この既知の問題は、今月のセキュリティ更新プログラムが、Windowsの暗号化サービス(セキュリティ関連および暗号化操作を処理するWindowsの組み込みサービス)におけるセキュリティ機能バイパスの脆弱性(CVE-2024-30098)を修正するためのセキュリティ修正をデフォルトで自動的に有効にしているために発生します。
この修正は、DisableCapiOverrideForRSAレジストリキーの値を1に設定することで有効化され、暗号化操作をスマートカード実装から分離し、攻撃者がSHA1ハッシュの衝突を作成して脆弱なシステムでデジタル署名をバイパスするのを防ぎます。
認証の問題が発生している場合は、以下の手順でDisableCapiOverrideForRSAレジストリキーを無効にすることで手動で解決できます:
- レジストリエディターを開きます。Win + Rを押し、「regedit」と入力してEnterキーを押します。ユーザーアカウント制御の確認が表示された場合は「はい」をクリックします。
- サブキーに移動します。次の場所へ移動:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais。
- キーを編集して値を設定します。Calais内でDisableCapiOverrideForRSAキーが存在するか確認します。DisableCapiOverrideForRSAをダブルクリックします。値のデータに「0」と入力します。
- 閉じて再起動します。レジストリエディターを閉じ、コンピューターを再起動して変更を反映させます。
ただし、Windowsレジストリを編集する前に必ずレジストリのバックアップを取ってください。誤った操作をするとシステムに問題が発生する可能性があります。
この方法で問題を緩和できますが、DisableCapiOverrideForRSAレジストリキーは2026年4月に削除される予定であり、Microsoftは影響を受けたユーザーに対して、根本的な問題解決のためにアプリケーションベンダーと連携することを推奨しています。
木曜日、MicrosoftはIISウェブサイトやHTTP/2のlocalhost(127.0.0.1)接続が最近のWindowsセキュリティ更新後に動作しなくなる既知の問題を修正しました。
同じ日に、同社はWindows Update経由でWindows 11 24H2へのアップグレードを妨げていた2つの互換性制限も解除しました。
