ニュース
2025年10月21日6分
データおよび情報セキュリティ暗号化Windowsセキュリティ
CSPからKSPへの移行が、スマートカード認証、IIS接続、リカバリーモードデバイスで障害を引き起こしている。
2025年10月のMicrosoft Windowsセキュリティアップデートが企業に混乱をもたらし、煩わしいものから致命的なものまで、さまざまなバグで複数のシステムに影響を与えています。
KB5066835のアップデートは、従来のCryptographic Services Provider(CSP)からより安全なKey Storage Provider(KSP)への移行によってWindowsの暗号化を強化することを目的としていましたが、現在ユーザーは認証、ウェブサイト、アップデート、さらにはマウスやキーボードの使用にまで問題を経験している可能性があります。
これらおよびその他の既知の問題は、Windows 10(バージョン22H2)、Windows 11(バージョン23H2、24H2、25H2)、およびWindows Server(2012、2016、2022、2025リリース)など、広範な展開が指定されているWindowsバージョンに影響を及ぼしています。
「エンタープライズソフトウェアのサイバーセキュリティ向上が、ソフトウェアが更新されて各プラットフォームで効果的に動作するまで、業務の中断や調整をもたらすことは時々あります」とSaviyntのチーフトラストオフィサージム・ラウス氏は述べています。「まさに今回がそのケースです。」
2025年10月のWindowsセキュリティアップデート(KB5066835)は、スマートカード認証の問題に加え、Windows回復環境(WinRE)内でUSBマウスやキーボードが使用できなくなる、IISウェブサイトの読み込み失敗、Windows Updateスタンドアロンインストーラー(WUSA)を使用した共有ネットワークフォルダーからのアップデートインストールの中断などの問題を引き起こしています。
さらに先週、このセキュリティパッチが多くの開発環境を混乱させたことが発覚し、企業はアップデートのロールバックを余儀なくされました。
「10月のアップデートのパッチ品質は全体的にひどいものです」とBeauceron Securityのデビッド・シプリー氏は述べています。「ローカルホストの破壊、回復モードでのキーボードとマウスの問題など、ここ数年で最悪の品質管理のアップデートの一つだと思います。」
電子署名の取得が困難に
スマートカード認証および証明書の問題には、32ビットアプリケーションでスマートカードがCryptographic Service Provider(CSP)として認識されない、ユーザーが電子文書にデジタル署名できない、証明書ベース認証に依存するアプリの障害などが含まれます。発生するエラーメッセージには「指定されたプロバイダータイプが無効です」や「CryptAcquireCertificatePrivateKeyエラー」などがあります。
これはつまり、Saviyntのラウス氏の説明によれば、「ユーザーが電子文書のデジタル署名を取得するのが困難になる可能性がある」ということです。
マイクロソフトは、この問題は暗号化を強化するための「セキュリティ向上」によるものだと説明しています。ユーザーはDisableCapiOverrideForRSAレジストリキーを変更し、その後Windowsを閉じて再起動することで解決できるとしています。ただし、マイクロソフトはレジストリの編集を誤るとシステムに問題が生じる可能性があるため、変更前に必ずバックアップを取るよう強調しています。
スマートカード認証は、通常、高い保証レベルの認証が必要な環境で使用されると、Info-Tech Research Groupのサイバーセキュリティアドバイザーボブ・ウィルソン氏は述べており、それが一部の機能にとって重要である理由です。
「もちろん、最大の問題は業務プロセスの中断に関するものになるでしょう」と彼は述べています。さらに、認証メカニズムが壊れると、組織はより弱い認証方法や安全性の低い回避策に頼ることになり、脅威アクターに悪用される可能性があります。
「セキュリティ向上を目的としたパッチが、結果的に組織のセキュリティ体制を弱める可能性があるのは皮肉です」とウィルソン氏は指摘します。「これはベンダー主導の変更が問題を引き起こす良い例です。」
デバイスの誤動作、接続失敗、インストールエラー
KB5066835のアップデートは、WinREでキーボードやマウスを含むUSBデバイスが誤動作し、回復モードでの操作ができなくなる原因にもなります。ただし、Windows OS内ではキーボードとマウスは通常通り動作します。マイクロソフトはこの問題に対処するため、臨時のアップデートKB5070773をリリースしました。
さらに、このセキュリティアップデートは、HTTP.sysに依存するサーバーサイドアプリケーションの受信接続に問題を引き起こす可能性があります。IISウェブサイトが読み込めず、「ERR_CONNECTION_RESET」などのメッセージが表示されることがあります。これはhttp://localhost/でホストされているウェブサイトや、その他のIIS接続も含まれます。
マイクロソフトは、問題はアップデートを検索してインストールし、アップデートが見つかったかどうかにかかわらずデバイスを再起動することで解決できるとアドバイスしています。
さらに、KB5066835は、エンタープライズ環境でWindows Update Agent APIを使用してアップデートをインストールする仕組みであるWUSAの障害も引き起こしています。共有ネットワークフォルダーに複数の.msuファイルがある場合、.msuアップデートファイルの操作時に「ERROR_BAD_PATHNAME」というエラーが表示されることがあります。
ユーザーは、.msuファイルをローカルに保存し、ローカルファイルからアップデートをインストールすることでこの問題を回避できます。Windowsを再起動した後も設定の「更新履歴」ページに「再起動が必要」と表示される場合は、15分待ってリフレッシュしてください。「この短い遅延の後、設定アプリはアップデートが正常にインストールされたかどうかを正しく表示するはずです」とマイクロソフトは述べています。
同社はKnown Issue Rollbackを通じてこの問題を緩和したとし、今後のWindowsアップデートで修正をリリースするとしています。
企業はどう対応すべきか
Beauceron Securityのシプリー氏は、全体としてこれらの不具合は「特に高いセキュリティ管理が求められる銀行、政府、防衛分野など、いくつかの重要な組織に大きな影響を与えるだろう」と述べています。
短期的には、Info-Techのウィルソン氏は、影響を受けた組織に対し、「DisableCapiOverrideForRSA」レジストリキーの値を「0」に変更するという推奨されているアップデートを実施することを勧めています。また、スマートカード認証用のその特定のパッチの展開を延期することも選択肢です。
「マイクロソフトの暗号技術へのアプローチの変化に合わせたアプリ、ドライバー、ツールをベンダーと連携して入手する必要があるでしょう」とウィルソン氏は述べ、このレジストリキーは2026年4月に廃止され、回避策が使えなくなることを強調しました。
長期的には、彼は、組織がこのような状況から身を守るために次のような対策を取れると述べています:
パッチをテストし、変更管理プロセスを通じて変更を管理するプロセスを確立すること。
特に重要なアカウントや特権アカウントについては、認証の複数の経路を持つこと。
認証システムが失敗した場合に備えて、重要なプロセスのための緊急対応計画を維持すること。
「現在のユーザーの課題は、より多くのオペレーティングシステムがアップグレードされるにつれて徐々に解消されていくでしょう」とSaviyntのラウス氏は述べています。最終的には、「アップデートに含まれる新しい技術・暗号化は、OSのセキュリティ向上を意味します。」
