1990年代から存在していたと考えられる脆弱性が新たに確認されたことが、セキュリティ専門家や報道機関により報じられています。「Factoring RSA Export Keys(FREAK)」と呼ばれるこの脆弱性が利用されると、SSL/TLS通信の際、強度の弱い暗号(RSA Export Suites)を使用させることができます。このため、強度の弱い暗号が解読されることにより、通信の盗聴、改ざんが行われる危険性があります。
■1990年代から存在している脆弱性
この脆弱性は、1990年代から存在しています。当時、米国政府は、512ビット以下の「RSA Export Suites」をサポートしているソフトウェアを利用条件としていました。この利用条件は1990年代後半には解除されましたが、現在でもSSL/TLSプロトコルの実装において「RSA Export Suites」をサポートしているサイトは少なくないようです。セキュリティ専門家によると、1990年代はこの程度の暗号化で十分だったかもしれませんが、現在のコンピュータでは、512ビットの RSA鍵であれば、約7時間で復号化できます。また、クラウドサービスを利用すれば、復号に十分なリソースがわずか 100米ドル(2015年3月5日時点、約12,000円)で簡単に入手可能です。
■明るみになった脆弱性「FREAK」
「FREAK」は、パリのフランス国立情報学自動制御研究所(INRIA)所属の Karthikeyan Bhargavan氏、および同研究所とMicrosoft による共同プロジェクトチーム「miTLS」によって確認されました。彼らによると、「OpenSSL」(0.9.8zd未満・1.0.0p未満の1.0.0バージョン・1.0.1k未満の1.0.1バージョン)および Apple の SSL/TLS通信のクライアントがSSL/TLS通信で扱った情報が、中間者(MitM)攻撃により盗聴、改ざんされる可能性があることを確認しました。この脆弱性を利用した攻撃の前提条件として、接続元クライアントとしてこの脆弱性の影響を受けるソフトを使用し、接続先サーバが「RSA Export Suites」をサポートし、中間者が双方間の HTTPS通信に介入することに成功すると、盗聴や改ざんなどの攻撃が可能になります。一般的には中間者がHTTPS通信に介入しても、通信が暗号化されています。しかし、この脆弱性を利用した攻撃では、暗号化の方法を強度が十分でない512ビット以下の暗号化に変更されてしまいます。そのため攻撃者は、比較的簡単に情報を復号することができます。
Apple の 「SecureTransport」 は、iOS端末や OS X上のアプリケーションに使用されていますが、こうしたアプリケーションには、iPhone や iPad、Mac の標準ブラウザである Safari も含まれます。「OpenSSL」 は、Android のブラウザおよびその他のアプリケーションパッケージで使用されています。「OpenSSL」の場合、この脆弱性「FREAK」(CVE-2015-0204)が存在するバージョンでおいて、上述の中間者攻撃が可能なことをトレンドマイクロでは確認しています。
しかし、幸いなことに、Windows OS を使用する一般のインターネット利用者にとって、この脆弱性の影響は非常に限定的です。Microsoft製品では SSL/TLS通信は自前の実装が行われており、そもそも OpenSSL は使用されていません。Windows の既定のブラウザである、Internet Explorer に加え、Chrome、Firefox などのサードパーティブラウザ もこの脆弱性とは無関係です。まとめると、この脆弱性の影響を受けるのは、OpenSSLを使用しているLinux/Unix、Android環境と Apples社の Mac OS、iOS環境ということになります。
■影響を受ける有名な Webサイト
FREAK脆弱性に関する情報を専門に扱っている freakattack.comによれば、信頼性の高いとされるWebサイトの37%が、また、Alexaのトップ100万ドメインのうち9.7%のサイトが「RSA Export Suites」をサポートしており、この脆弱性を利用する攻撃の影響を受る可能性があると報じられています。この中には「Bloomberg」や「Business Insider」、「DNet」、「HypeBeast」、「Nielsen」、「米連邦捜査局(FBI)」等のWebサイトも含まれています。
■脆弱性「FREAK」の対策
脆弱性「CVE-2015-0204」対する「OpenSSL」の修正プログラムは、既に2015年1月に公開されています。Appleは、モバイル端末および PC への修正プログラムを 2015年3月9日の週に公開すると報じられていますが、この脆弱性について公式な発表は行っていません。
Android端末のユーザは、標準 Androidブラウザの使用を控え、この脆弱性の影響を受けていない Google Chrome を使用することをお薦めします。なお、Google の検索サイトへの通信は、この脆弱性の影響を受けません。
弊社Deep Security Labs ディレクターのPawan Kinger によると、「FREAK」脆弱性は、攻撃実行のためには複雑な条件が必要であり、さらに高度な知識を必要とする脆弱性とのことです。しかし、攻撃実行のために必要な複数の条件は、強い決意を持った攻撃者を諦めさせる理由にはならないともいいます。「FREAK」による攻撃を実行するため、まず攻撃者は、クライアント=サーバ間の通信に途中で介入する中間者攻撃が必要となります。この中間者攻撃では、クライアントとサーバ間の SSLセッションを制御し、SSL/TLS通信の際、中間者が強度の弱い暗号(RSA Export Suites)を使用させることも必要となります。その後、攻撃者は、暗号強度の弱いトラフィックを乗っ取り、暗号解読のための総当り攻撃を実行します。総当り攻撃は、通常では数時間、強力な暗号の場合、数日もしくは数週間を要します。
弊社では現在、影響を受けるサーバへ被害の度合いや攻撃の仕組み等に関して調査しています。一般ユーザが取るべき対策としては、脆弱性の影響を受けるソフトをアップデートするか、使用しないこと。端末のセキュリティソフトウェアを最新にすることです。サイト管理者が行うべき回避策・対策としては、サーバ側で「EXPORT RSA Suite」を使用停止にすることを推奨します。脆弱性自体はクライアントソフトのものですが、サーバ側でも悪用されないための対策が可能です。また、「OpenSSL」も最新のバージョンに更新して下さい。また、SSL Labs の SSL Server Testを使用して Webサイトが脆弱であるか確認することもできます。
前出のfreakattack.comでは、以下のような次善策が提案されています。
- IT管理者は、「RSA Export Suites」のサポートを無効にして下さい。
- IT管理者は、既知の安全でない暗号化をすべて無効して、「Forward Secrecy(前方秘匿性)」を有効にして下さい。
弊社のサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」ご利用のお客様は、以下のフィルタを適用することにより、問題の脆弱性を利用した攻撃から保護されます。
- Openssl RSA Downgrade Vulnerability (CVE-2015-0204)
上述のフィルタは、クライアントのみに適用されています。弊社では、RSA Export Suites の暗号化が使用された通信をブロックするフィルタも提供する予定です。
トレンドマイクロは、この脆弱性について引き続き調査を進め、新しい展開があれば追ってご報告します。
参考記事:
翻訳:臼本 将貴(Core Technology Marketing, TrendLabs)