暗号化通信に脆弱性「FREAK」が判明 - 盗聴や改ざんのおそれ
暗号化プロトコルである「SSL/TLS」のライブラリの多くに脆弱性が存在し、通信内容を盗聴したり改ざんする中間者攻撃「FREAK」が可能となることがわかった。
問題の脆弱性は、中間者攻撃で暗号化通信の下位互換により脆弱な暗号化通信を行わせるもの。米国で暗号技術の輸出規制が行われていた1990年代当時の脆弱な暗号が利用されるため、暗号化通信を盗聴されたり、改ざんされるおそれがある。
今回の問題が判明するきっかけとなったのは、OpenSSLにおける脆弱性「CVE-2015-0204」。同脆弱性は、フランス国立情報学自動制御研究所(INRIA)のKarthikeyan Bhargavan氏や同研究所とMicrosoftによる共同プロジェクトのmiTLSが2014年10月22日に報告したもので、同脆弱性は1月に公表され、OpenSSL向けにアップデートが提供されている。
今回、同脆弱性についてOpenSSL以外の暗号化ライブラリについても、影響を受けることが判明したもので、輸出レベルの秘密鍵に対する攻撃であることから、「FREAK(Factoring attack on RSA-EXPORT Keys)」と名付けられた。
miTLSでは、512ビット以下の鍵長であることから、クラウドサービスを利用することにより、50ドルほどで12時間以内に解析できると危険性を指摘。影響を受けるクライアントとして、「CVE-2015-0204」を修正していない「OpenSSL」のほか、Chrome 41以前、Android向けに提供されている多くのブラウザ、AppleのSafariのほか、未公表のものあるとしている。
(Security NEXT - 2015/03/04 )
ツイート
PR
関連記事
DBD攻撃の悪用脆弱性、99%が「Flash Player」 - 「Java」への攻撃は鎮静化
MS、「Juniper VPNクライアントライブラリ」の更新を配信
TLSに脆弱性「Logjam」 - 国家レベルなら1024ビットまで盗聴可能
Apple Watchに「FREAK」など13件の脆弱性 - セキュリティ更新が公開
OpenSSL、「FREAK」の脆弱性について重要度を引き上げ
Apple、Yosemite向けに「Security Update 2015-003」を公開
MS月例パッチが「FREAK」対応 - 回避策実施時はパッチ適用前に解除を
3月のMS月例パッチは14件 - 「FREAK」やUXSSのゼロデイ脆弱性に対応
「FREAK」などOS Xの脆弱性5件を修正 - Apple
Apple、「iOS 8.2」を公開 - 「FREAK」に対応