Microsoft、SSL/TLSの脆弱性「FREAK」について対応を表明、影響はすべてのWindowsに

　米Microsoftは5日、Windows上のSSL/TLSの実装であるSecure Channel（Schannel）に、「FREAK」と呼ばれる脆弱性が存在するとして、セキュリティアドバイザリ「3046015」を公開した。影響は現在サポートされているすべてのWindowsに及ぶ。

　この問題は、多くのSSL/TLSの実装において、1990年代の米国の暗号輸出規制に由来する脆弱性「FREAK」が存在することが確認されたもの。攻撃者は、中間者攻撃でこの脆弱性を悪用することで、強度の低い輸出用RSAの使用を強制することができ、これにより暗号が解読されてしまう恐れがある。

　FREAK脆弱性は、OpenSSLでは1.0.1k未満のバージョンに影響があるほか、クライアント側もInternet Explorer、Chrome、Safariなどに影響があるとされている。

　Microsoftでは、現時点で確認されている攻撃手法においては、攻撃を成功させるためにはサーバー側が輸出用RSA鍵交換の暗号化スイートをサポートしていることが必要条件となっており、Windows Serverは規定の設定では輸出用RSA鍵交換の暗号化スイートを利用しないため、攻撃の影響は受けないと説明。また、現時点ではこの問題がユーザーへの攻撃に使用されたことを示す情報は受け取っていないとしている。

　Microsoftではこの脆弱性の影響を調査しており、調査が完了次第、月例または定例外のセキュリティアップデートの提供など、ユーザーを保護するための適切な措置を講じるとしている。