【速報】KB5066835適用でスマートカード認証が機能不全に!原因と全Windows環境向けのレジストリ修正手順

【速報】KB5066835適用でスマートカード認証が機能不全に!原因と全Windows環境向けのレジストリ修正手順 Microsoft Tips
スポンサーリンク

Windows 11(バージョン 24H2/25H2)および Windows Server 2025 ユーザーの皆様へ緊急のお知らせです。

2025年10月15日にリリースされたWindowsのセキュリティ更新プログラム(KB5066835など)をインストールした後、企業や政府機関で広く使用されているスマートカード認証に関連する深刻な不具合が確認されています。

この問題は、Windows 11/10だけでなく、広範なWindows Server環境にまで影響を及ぼしています。

本記事では、Microsoftが公式に認めたこの不具合の詳細、発生するエラー、そしてシステム管理者やユーザーが問題を解決するために実行すべきレジストリ修正手順を分かりやすく解説します。

スポンサーリンク
スポンサーリンク

1. 不具合の概要:スマートカードがCSPとして認識されない

この問題は、Windowsがセキュリティ強化のため、スマートカードの証明書に使用する暗号化プロバイダーを従来のCSP (Cryptographic Service Provider) からKSP (Key Storage Provider) へと変更したことに起因しています。

発生する具体的な現象

更新プログラム適用後、スマートカードを使用する際に以下の症状やエラーが発生します。

  • 32ビットアプリケーションで、スマートカードがCSPプロバイダーとして認識されない。
  • 証明書ベースの認証に依存するアプリケーションが失敗する。
  • ドキュメントへの署名(サイン) ができない。

ユーザーが目にするエラーメッセージ

この不具合の結果、ユーザーは以下のようなエラーメッセージに遭遇する可能性があります。

  • “invalid provider type specified” (指定されたプロバイダーのタイプが無効です)
  • “CryptAcquireCertificatePrivateKey error.”

影響を受ける主なプラットフォーム

カテゴリ 影響を受けるOSバージョン
クライアント Windows 11 (v25H2, v24H2, v23H2, v22H2)、Windows 10 (v22H2)
サーバー Windows Server 2025Server 23H2Server 2022Server 2019Server 2016Server 2012 R2Server 2012

事前検出方法

KB5066835をインストールする前に、システムのイベントログでSmart Card Serviceに関する以下のイベントID 624が記録されていないかを確認することで、スマート カードがこの問題の影響を受けているかどうかを判断できます: 「監査: このシステムはRSA暗号化操作にCAPIを使用しています。詳細は以下のリンクを参照してください: https://go.microsoft.com/fwlink/?linkid=2300823

 

2. 恒久的な解決策:レジストリキーによる修正手順

この問題は、レジストリの特定の値を変更し、CSP(従来の方式)の使用を許可することで解決できます。

この解決策は、セキュリティのバイパスの脆弱性(CVE-2024-30098)に関連して文書化されています。

⚠️重要: レジストリの編集はシステムに深刻な影響を与える可能性があります。必ずレジストリのバックアップを取ってから作業を行ってください。

【解決手順】DisableCapiOverrideForRSAキーの設定

  1. レジストリエディターを開く

    • Win + Rキーを押し、「regedit」と入力してEnterを押します。
    • ユーザーアカウント制御(UAC)が表示されたら「はい」をクリックします。

  2. 目的のサブキーへ移動する

    Go to: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais

  3. キーの編集と値の設定

    • Calais内に「DisableCapiOverrideForRSA」というキーが存在するか確認します。
    • このキーをダブルクリックし、「値のデータ」に「0」(ゼロ)を入力します。
    • 注意: このDisableCapiOverrideForRSAキーは、OSやWindows Updateのインストールによって自動では追加されません。存在しない場合は、右クリックから「新規」「DWORD (32ビット) 値」を選択し、手動でキー名を追加する必要があります。

  4. 終了と再起動

    • レジストリエディターを閉じます。
    • 変更を適用するためにコンピューターを再起動します。

 

結論:今後の見通し

Microsoftはこの問題を既に解決済みとして扱っていますが、広範なOSに影響が及んでいることから、影響を受けるユーザーは手動で上記のレジストリ修正を行う必要があります。

スマートカード認証を業務で利用されているシステム管理者の方は、このレジストリ変更をグループポリシーなどで対象デバイスに展開することを検討してください。

Windows 11, version 24H2 known issues and notifications
View announcements and review known issues and fixes for Windows 11, version 24H2
learn.microsoft.com

コメント