暗号化通信に脆弱性「FREAK」が判明 - 盗聴や改ざんのおそれ
暗号化プロトコルである「SSL/TLS」のライブラリの多くに脆弱性が存在し、通信内容を盗聴したり改ざんする中間者攻撃「FREAK」が可能となることがわかった。
問題の脆弱性は、中間者攻撃で暗号化通信の下位互換により脆弱な暗号化通信を行わせるもの。米国で暗号技術の輸出規制が行われていた1990年代当時の脆弱な暗号が利用されるため、暗号化通信を盗聴されたり、改ざんされるおそれがある。
今回の問題が判明するきっかけとなったのは、OpenSSLにおける脆弱性「CVE-2015-0204」。同脆弱性は、フランス国立情報学自動制御研究所(INRIA)のKarthikeyan Bhargavan氏や同研究所とMicrosoftによる共同プロジェクトのmiTLSが2014年10月22日に報告したもので、同脆弱性は1月に公表され、OpenSSL向けにアップデートが提供されている。
今回、同脆弱性についてOpenSSL以外の暗号化ライブラリについても、影響を受けることが判明したもので、輸出レベルの秘密鍵に対する攻撃であることから、「FREAK(Factoring attack on RSA-EXPORT Keys)」と名付けられた。
miTLSでは、512ビット以下の鍵長であることから、クラウドサービスを利用することにより、50ドルほどで12時間以内に解析できると危険性を指摘。影響を受けるクライアントとして、「CVE-2015-0204」を修正していない「OpenSSL」のほか、Chrome 41以前、Android向けに提供されている多くのブラウザ、AppleのSafariのほか、未公表のものあるとしている。
また影響があるウェブサイトとして、米国家安全保障局(NSA)や米連邦捜査局(FBI)といった米国政府機関のほか、IBMやSymantecといった企業が利用していることを挙げた。
またミシガン大学の研究者グループも、3月3日の時点で「RSA Export Suites」が利用できるサイトの事例として、Alexaの上位1万サイトから「ホワイトハウス(whitehouse.gov)」や「米証券取引委員会(sec.gov)」などピックアップしている。
それらリストには、「日産自動車(nissan.co.jp)」「全日空(ana.co.jp)」「エプソン(epson.co.jp)」「NTTコミュニケーションズ(ntt.com)」「リクルート(recruit.co.jp)」「はてな(hatena.ne.jp)」「集英社(shueisha.co.jp)」といった国内企業も含まれる。
また上位10万サイトでは、「国立国会図書館(ndl.go.jp)」「国立国際医療研究センター国府台病院(ncgmkohnodai.go.jp)」「幼保連携推進室(youho.go.jp)」「国営木曽三川公園(kisosansenkoen.go.jp)」、政府関連サイトなども入っていた。
(Security NEXT - 2015/03/04 )
ツイート
PR
関連記事
Cisco IOS XRのIPv6処理でDoS攻撃受けるおそれ
WordPressのCAPTCHAプラグイン2種に脆弱性
IIJが提供するルータ「SEILシリーズ」のPPPAC機能に脆弱性
東芝製Bluetooth制御ソフトやシステム管理アプリに脆弱性
「ShellShock」攻撃が再び - 脆弱なウェブサーバをボット化
「Samba」に制御奪われる脆弱性 - アップデートが公開
日本語版Zen CartにXSSの脆弱性
WordPressの人気プラグイン「FancyBox」に深刻な脆弱性
「Superfish」の問題機能は「Komodia Redirector SDK」により実装
Adobe、「Flash Player」更新による脆弱性の対応件数を修正